Перейти к содержимому
Калькуляторы

L3 Switch 48x1Ge + 2x10Ge + Netflow + 1U

Кто из местных знает свитч 1U - чтобы у него было:

1. 48 портов 10/100/1000

2. 2 или больше портов 10Ge

3. Был полноценный netflow

4. Высота была 1U

5. Была поддержка BGP/OSPF - маршрутов от 1024

6. Аппаратная поддержка ipv6

 

Пока что знаем только одну серию - это Cisco 3560X/3750X с модулем C3KX-SM-10G

 

Кто что еще посоветует? желательно точную модель с ценником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в netflow я не верю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в netflow я не верю...

 

плюсую. Для полноценного netflow приходится извращаться путём зеркалирования трафика на x86-сервера и генерации netflow на них. Если netflow работает на свитчах с asic-ами и "дохлым" CPU, то оно либо сэмплировано, либо количество flows ограничено tcam-ом, ну т.е. full netflow работает пока на вас не устроят ddos с рандомными src/dst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco 3560X

 

Имеется такой на хозяйстве с 10 гиговым модулем. Что могу хорошего рассказать... Экономный, тихий, с производительностью портов вроде как нормально, работает стабильно и даже не виснет :)

Из недостатков - ну очень слабый процессор control plane. SFP надо шить с разными серийниками, иначе тушит модуль. Блок питания сильно умный, 50+-2 герц ему подавай, чуть что не так (генератор) - работать не будет. В остальном - обычная бюджетная циска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело не в конкретной модели, а в запросе на "полноценный netflow"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело не в конкретной модели, а в запросе на "полноценный netflow"...

 

ну так в гугле почитайте = C3KX-SM-10G - добавляет полный netflow Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3750-x-series-switches/white_paper_c11-691508.html

 

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

Если netflow работает на свитчах с asic-ами и "дохлым" CPU, то оно либо сэмплировано, либо количество flows ограничено tcam-ом, ну т.е. full netflow работает пока на вас не устроят ddos с рандомными src/dst

 

в том то и дело что мы такие железки планируем поставить в стойку - где уже стоят сервера клиентов. А это уже после системы защиты от ддос атак.

Так что ддосов там не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

И ему надо влить софт. Что, в принципе, не проблема, главное не забыть при апдейте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

ну так в гугле почитайте = C3KX-SM-10G - добавляет полный netflow Cisco Catalyst 3K-X Service Module: Enabling Flexible NetFlow in the Access

http://www.cisco.com...c11-691508.html

 

на сервисном модуле стоит полноценный проц с полноценной обработкой netflow

 

Ну вот там же и написано

The service module ASIC is the Flexible NetFlow engine performing traffic analysis for each flow monitor. Statistics reside in the ASIC cache, which can store a total number of 32K flows shared across flow monitors.

 

Т.е. это "полноценный" netflow всего на 32К потока, в самом деле меньше за счёт того что там хеш-таблицы. Я хз много или мало это для вас. Если для вас это нормально, то ок. Если же у вас больше 20-30К flows единовременно, а нужен честный netflow, то не подходит

 

Просто не очень понятно зачем вам нужен netflow на нём, если ddos-защита уже перед этим свитчом есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там трафик будет сниматься с 40 серверов - каждый из которых генерирует 10-15 мегабит. Стойка обычно потребляет 200-300 мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто не очень понятно зачем вам нужен netflow на нём, если ddos-защита уже перед этим свитчом есть

 

 

как и писалось в другой теме - чтобы ловить клиентов которые с наших серверов ддосят наши же сервера. В этом случае трафик у нас ходит на прямую и не проходит 65ку на которой снимается нетфлоу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас с вами разные понятия полноценности ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос такой - есть что то - что может сделать это лучше в 1U исполнении с нужным количеством портов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там трафик будет сниматься с 40 серверов - каждый из которых генерирует 10-15 мегабит. Стойка обычно потребляет 200-300 мегабит.

 

да это вообще пофиг, лимит на кол-во flows я написал выше, вам лучше знать это нормально или нет. Даже с одного IP-адреса его легко переполнить, тупо устроив атаку с разными src/dst-портами на ip-адрес соседа

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

разные src не сработают - у нас стоят ACL на каждом клиентском порту - который запрещает подмену SRC ip - так что будет просто много разный SRC портов и DST портов жертвы.

Переполнение да - может быть. Поэтому и спрашиваю - какие другие модели умеют netflow лучше - чем вариант 3560x/3750x

Изменено пользователем artplanet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО нетфлоу всё таки фича роутеров, тех где жирнющий ткам

посмотрите на старшие линейки экстримов, у них вроде ткама на свичах немеряно (как для свичей)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы брал коммутатор L2, L2+ с поддержкой 1,2,4,6 пункта

Но судя по всему, вам еще на коммутаторе понадобится VRRP, DSCP и порт мирроринг(у многих вендоров он называется по своему). Еще возможно потребуется Q-in-Q.

А 3,5 пункт завел бы на сервере.

Схема - "router on a stick"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco 4948e - самое оно

 

не умеет оно netflow - только netflow-lite - а это все равно что sflow. Стоят у нас такие в бою

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

Изменено пользователем artplanet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

думается осилят, если ядерный модуль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще возможно потребуется Q-in-Q.

 

откуда такая идея вообще возникла? ТС же не оператор и каналами вроде как не барыжит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco 4948e - самое оно

 

не умеет оно netflow - только netflow-lite - а это все равно что sflow. Стоят у нас такие в бою

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

 

А тут начинается стандартная история в обработке трафика на x86. либо пользуете opensource/дешевые поделки, но медленно (т.е. ставите несколько серверов под сенсоры и балансируете через зеркало/no-mac-learn в static lag), либо пользуете коммерческий продукт, в вашем случае это будет http://www.ntop.org/products/netflow/nprobe/ , он как раз даёт 3Mpps per-core на 64-байтных пакетах, у вас всё-таки думаю больше средний размер пакета

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу netflow на сервере - у нас сейчас чистого трафика 3Mpps примерно - не осилят линуксы даже с нормальной intel сетевухой.

(стоит у нас сервер с fastnetmoon - так он видет 30-40% реального трафика - хотя в него выливают через порт мирриринг весь трафик)

 

Графики нагрузки с аплинков и на порты с миррорингом совпадают?

FreeBSD 11.0, нормальная сетевая, возможно, еще netmap придется прикрутить.

Еще на скорости дисков можете затыкаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.