Nik0n

Я написал с чем сталкивался сам. Поищите другую модель D-Link - попроще. Можете на форуме d-link поспрашивать. Ну или кто из форумчан еще идей подкинет :)

Раз ipservicesk9 - будет работать.

sh version покажите

D-Link DGS-3420 точно умеет зеркалить с правилами ACL (но только как include) в том числе и фильтр по VLAN можно организовать.

В сторону логов конечно.

Не сильно. Но ЦЕНА! ТС что денег дают безлимит ? Избыточная 4500X в представленное схеме - 4900M за глаза хватит (но без BGP FV!).

Интересно а зачем ставить (как L2) SNR-S2990G если D-Link 3627 умеет 10g (читал ттх на офиц. сайте)?

"Switch 1/2" должен уметь IGMP Snooping, что бы не флудил в не нужные порты. И с буфером пакетов побольше, что бы не терялись мултикаст пакеты. DGS-1510-20 ИМХО подходит. Тем более в нем есть 10g порты. Можете сразу по нему и соединить "Switch 1/2" (но нужны SFP+ модули).

У вас быстрее деньги кончаться на счетах опсосов чем что-то сломается :) Зачем ТРИ резервных модема ?

RSPAN на D-Link-ах http://forum.dlink.ru/viewtopic.php?f=2&t=137094 В конце есть дока.

Кол-во ASA и каналов ISP вообще идут параллелно между собой. А ваша схема ИМХО кривая, я бы так не делал :). В ней Вы не сможете использовать ISP1 когда "привязаный" к нему ASA1 "упадет". Вы же хотите повысить отказоусточивость ! Включайте ISP-1 и ISP-2 в L2 свич, и выдайте их на ASA-1 и ASA-2 (или что там будет) через VLAN-ы. Сможете гонять трафик в ISP1/2 через любой ASA. ЗЫ Да и тогда у Вас только L2 свич будет "точкой отказа".

Судя по схеме У Вас в облако уходит разные наборы VLAN, что как бы гарантирует что кольца не будет ЧЕРЕЗ облако. Просто делай на свичах 1-4 какие хотите протоколы STP что бы выдать группу VLAN в облако. Либо обясните что Вы хотите подробней.

Ну наговорите сейчас. Прямо вот САМА UTM5 (установленная из коробки) лезет на свич и прописывает туда VLAN? Это где сказка то такая :)

Стек из DGS-3420-28SC и DGS-3420-28SC (Update: сорри -26SC был в другом эксперименте). Ребут любого свича не приводил к ребуту всего стэка. Правда пробовали на стенде. Проверяли LACP на 10g портах. Даже прошивки могут быть разные. Удобно для последовательного обновления. IMHO - 3120 должны так же себя вести. ЗЫ Фишка LACP в стэке - входящий трафик на свич будет тут же выдан в LACP порт не зависимо от алгоритма балансировки.

Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :) Тут люди обсуждают проблемы на сотнях и выше. А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик. Тем более NAT и шейпер в условиях задачи отсутвует. ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе. Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-)

Я по привычке использую cu (из пакета uucp). Для гурманов можно и через PuTTY ;-)

Если решитесь на Eltex, то лучше договоритесь типа на тесты (с возвратом). Мы так делали. Попробовали, не взлетло как надо и вернули MES3124.

D-Link недавно анонсировал Routed Image для серии 3420, там есть и OSPF ! Так что закрывай кошелек ;-)

В нашем случае dhcp snooping нужен еще что бы option 82 вставлялась (в случае "тупого" доступа, у нас много таких). Я поглядел sh ip dhcp snooping statistics detail Queue full = 0 Rate limit exceeded = 0 Так что мы еще не выросли что-бы "уложить" 4900М циску :) А вот на 3550 в свое время не хватало 256Мб памяти для нашего количества SVI.

Целиком он очень очень большой. Поэтому фрагменты. ip dhcp snooping vlan 10-54,56-775,777-810,814-818,824-882,884-980,982-984,986 ip dhcp snooping vlan <еще куча VLAN> ip dhcp snooping information option allow-untrusted ip dhcp snooping database tftp://192.168.6.1/dhcpbind/core1.dat ip dhcp snooping каждая подсеть на своем Loopback interface Loopback111 vrf forwarding usr11 ip address 10.10.7.253 255.255.248.0 secondary ip address 10.10.7.251 255.255.248.0 interface Port-channel2 description <тут отвечает ISC DHCP сервер> ip dhcp relay information trusted ip dhcp snooping trust И куча SVI, например interface Vlan1724 vrf forwarding usr11 ip unnumbered Loopback111 ip helper-address 192.168.6.1 Да есть один недостаток. Когда вдруг cisco рестартует, она успешно загружает лизы которые сама сохраняла. Привязки IP-MAC восстанавливаются - а вот МАРШРУТЫ - НЕТ. Клиентам приходиться посылать с нуля DHCPDISCOVER иначе ни чего у них не работает.

Э-э-э не знаю. Когда я настраивал 8 лет назад (на 3550) у меня получалось только с включенным dhcp snooping. Да и сейчас на 4900М когда выключишь на VLAN dhcp snooping - не будет клиент в VLAN IP по DHCP получать т.к DHCP Relay не отработает.

Как ЗАЧЕМ? Из-за ip unnumbered! Без dhcp-snooping маршруты до клиентских IP в нужные VLAN не установятся!

А ip dhcp snooping limit rate <1-2048> разве не поможет?

Да. Перечитал тему внимательно. Понял что Вы про другие условия (выключен relay и т.п.)

Это почему это ? А это что ?