Jump to content
Калькуляторы

L3 Switch 48x1Ge + 2x10Ge + Netflow + 1U

Reply to this topic

artplanet   

artplanet
Posted · Report post

Кто из местных знает свитч 1U - чтобы у него было:

1. 48 портов 10/100/1000

2. 2 или больше портов 10Ge

3. Был полноценный netflow

4. Высота была 1U

5. Была поддержка BGP/OSPF - маршрутов от 1024

6. Аппаратная поддержка ipv6

 

Пока что знаем только одну серию - это Cisco 3560X/3750X с модулем C3KX-SM-10G

 

Кто что еще посоветует? желательно точную модель с ценником.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted · Report post

Что-то в netflow я не верю...

 

плюсую. Для полноценного netflow приходится извращаться путём зеркалирования трафика на x86-сервера и генерации netflow на них. Если netflow работает на свитчах с asic-ами и "дохлым" CPU, то оно либо сэмплировано, либо количество flows ограничено tcam-ом, ну т.е. full netflow работает пока на вас не устроят ddos с рандомными src/dst

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted · Report post

Cisco 3560X

 

Имеется такой на хозяйстве с 10 гиговым модулем. Что могу хорошего рассказать... Экономный, тихий, с производительностью портов вроде как нормально, работает стабильно и даже не виснет :)

Из недостатков - ну очень слабый процессор control plane. SFP надо шить с разными серийниками, иначе тушит модуль. Блок питания сильно умный, 50+-2 герц ему подавай, чуть что не так (генератор) - работать не будет. В остальном - обычная бюджетная циска.

Share this post

Link to post
Share on other sites

artplanet   

artplanet
Posted · Report post

Дело не в конкретной модели, а в запросе на "полноценный netflow"...

 

ну так в гугле почитайте = C3KX-SM-10G - добавляет полный netflow Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3750-x-series-switches/white_paper_c11-691508.html

 

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

Если netflow работает на свитчах с asic-ами и "дохлым" CPU, то оно либо сэмплировано, либо количество flows ограничено tcam-ом, ну т.е. full netflow работает пока на вас не устроят ddos с рандомными src/dst

 

в том то и дело что мы такие железки планируем поставить в стойку - где уже стоят сервера клиентов. А это уже после системы защиты от ддос атак.

Так что ддосов там не будет.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted · Report post

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

И ему надо влить софт. Что, в принципе, не проблема, главное не забыть при апдейте.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted · Report post

 

ну так в гугле почитайте = C3KX-SM-10G - добавляет полный netflow Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access

http://www.cisco.com...c11-691508.html

 

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

Ну вот там же и написано

The service module ASIC is the Flexible NetFlow engine performing traffic analysis for each flow monitor. Statistics reside in the ASIC cache, which can store a total number of 32K flows shared across flow monitors.

 

Т.е. это "полноценный" netflow всего на 32К потока, в самом деле меньше за счёт того что там хеш-таблицы. Я хз много или мало это для вас. Если для вас это нормально, то ок. Если же у вас больше 20-30К flows единовременно, а нужен честный netflow, то не подходит

 

Просто не очень понятно зачем вам нужен netflow на нём, если ddos-защита уже перед этим свитчом есть

Share this post

Link to post
Share on other sites

artplanet   

artplanet
Posted · Report post

там трафик будет сниматься с 40 серверов - каждый из которых генерирует 10-15 мегабит. Стойка обычно потребляет 200-300 мегабит.

Share this post

Link to post
Share on other sites

artplanet   

artplanet
Posted · Report post

Просто не очень понятно зачем вам нужен netflow на нём, если ddos-защита уже перед этим свитчом есть

 

 

как и писалось в другой теме - чтобы ловить клиентов которые с наших серверов ддосят наши же сервера. В этом случае трафик у нас ходит на прямую и не проходит 65ку на которой снимается нетфлоу.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted · Report post

там трафик будет сниматься с 40 серверов - каждый из которых генерирует 10-15 мегабит. Стойка обычно потребляет 200-300 мегабит.

 

да это вообще пофиг, лимит на кол-во flows я написал выше, вам лучше знать это нормально или нет. Даже с одного IP-адреса его легко переполнить, тупо устроив атаку с разными src/dst-портами на ip-адрес соседа

Share this post

Link to post
Share on other sites

artplanet   

artplanet
Posted (edited) · Report post

разные src не сработают - у нас стоят ACL на каждом клиентском порту - который запрещает подмену SRC ip - так что будет просто много разный SRC портов и DST портов жертвы.

Переполнение да - может быть. Поэтому и спрашиваю - какие другие модели умеют netflow лучше - чем вариант 3560x/3750x

Edited by artplanet

Share this post

Link to post
Share on other sites

GrandPr1de   

GrandPr1de
Posted · Report post

ИМХО нетфлоу всё таки фича роутеров, тех где жирнющий ткам

посмотрите на старшие линейки экстримов, у них вроде ткама на свичах немеряно (как для свичей)

Share this post

Link to post
Share on other sites

vlad11   

vlad11
Posted · Report post

Я бы брал коммутатор L2, L2+ с поддержкой 1,2,4,6 пункта

Но судя по всему, вам еще на коммутаторе понадобится VRRP, DSCP и порт мирроринг(у многих вендоров он называется по своему). Еще возможно потребуется Q-in-Q.

А 3,5 пункт завел бы на сервере.

Схема - "router on a stick"

Share this post

Link to post
Share on other sites

artplanet   

artplanet
Posted (edited) · Report post

Cisco 4948e - самое оно

 

не умеет оно netflow - только netflow-lite - а это все равно что sflow. Стоят у нас такие в бою

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

Edited by artplanet

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted · Report post

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

думается осилят, если ядерный модуль.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted · Report post

Еще возможно потребуется Q-in-Q.

 

откуда такая идея вообще возникла? ТС же не оператор и каналами вроде как не барыжит

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted · Report post

Cisco 4948e - самое оно

 

не умеет оно netflow - только netflow-lite - а это все равно что sflow. Стоят у нас такие в бою

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

 

А тут начинается стандартная история в обработке трафика на x86. либо пользуете opensource/дешевые поделки, но медленно (т.е. ставите несколько серверов под сенсоры и балансируете через зеркало/no-mac-learn в static lag), либо пользуете коммерческий продукт, в вашем случае это будет http://www.ntop.org/products/netflow/nprobe/ , он как раз даёт 3Mpps per-core на 64-байтных пакетах, у вас всё-таки думаю больше средний размер пакета

Share this post

Link to post
Share on other sites

vlad11   

vlad11
Posted · Report post

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

 

Графики нагрузки с аплинков и на порты с миррорингом совпадают?

FreeBSD 11.0, нормальная сетевая, возможно, еще netmap придется прикрутить.

Еще на скорости дисков можете затыкаться.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...