[Urs_ak]

Подскажите, пожалуйста

 

Допускается ли схема подключения СКАТа "в разрыв" через коммутатор ?

У кого-нибудь так сделано?

 

Например в случае, если производительный СКАТ один, а Бордеров и Брасов несколько.

 

Картинка для наглядности.

[alibek]

Я думаю, ему это без разницы.

Главное чтобы весь трафик L2 или L3 проходил через него.

А из приведенной схемы этого не видно.

[MrNv]

у нас так сделано, работает нормально.

[Urs_ak]

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

 

Только что, MrNv сказал:

у нас так сделано, работает нормально.

Спасибо

[snvoronkov]

У нас вообще тупо 10-ка до бордера вся через СКАТ прогнана. Со всеми VLAN-ами и их тэгами. Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

[Urs_ak]

25 минут назад, snvoronkov сказал:

Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

Спасибо

[YuryD]

 У нормальных скатов сетёвки как правило многопортовые, у меня их 6 штук. Соотв 3 независимых канала фильтрации можно сделать, от брасов-насов до бордеров.

[Dimic]

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

spanning-tree не гасит порты?

 

У меня Eltex MES3324F. Два 10Г интерфейса на скат в акцессе в разных вланах. rstp переводит один из портов в backup.
Отключал spanning-tree в l2 начинает штормить. Глюк элтекса такой?

[nemo_lynx]

9 минут назад, Dimic сказал:

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

[Dimic]

14 минут назад, nemo_lynx сказал:

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

Так у меня так и настроено. 

Eltex - te1 (access pvid 661)  ----> dna0 scatdpi
Eltex - te2 (access pvid 662)  <---- dna1 scatdpi

И все равно штормит. 

[nemo_lynx]

Спаннинг-три (за исключением MSTP) похеру на вланы. Отключите его на этих портах вообще, ничего не должно штормить. А чтобы свич не захлебнулся одинаковыми МАС в двух вланах, сделайте между брасом и бордером отдельную подсеть L3 - чтобы между ними бегали пакетики всего с 2-мя MAC.

[nemo_lynx]

В 28.11.2017 в 14:49, Urs_ak сказал:

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

 

Спасибо

Вариант 1 - для случая, когда между брасом и бордером один или более вланов, каждый из которых надо обслужить СКАТом.

 

Вариант 2 - только для случая, когда через СКАТ нужно прогнать ОДИН влан. В этом случае порты на свиче, в которые подключается СКАТ, должны быть access в РАЗНЫХ вланах. Например, так:

Switch - port1 (access pvid 10)  ----> dna0 scatdpi
Switch - port2 (access pvid 20)  <---- dna1 scatdpi

Switch - port3 (trunk vid 20)  ----> Border1
Switch - port4 (trunk vid 10)  <---- Bras1

[Dimic]

Это все понятно. Все это будет в отдельном L2 и L3 между ядром и бордером. 
Но сейчас, когда я на тест запустил свой СКАТ в офисной локалке, включив DPI в Eltex между своим компьютером и собственно локалкой, локалка умерла от шторма. 

Думаю, все же, проблема в элтексе. На будущее решил перестраховаться, спросить здесь на всякий случай кто как настроил.

 

Кстати, проблему на элтексе решил, помимо отключения spanning-tree на портах, путем изоляции на L2 портов друго от друга при помощои фичи protected port. Коммутатор флудить перестал.

Вот конфиг:

 

interface vlan 661
 name testpc-scat
exit
!
interface vlan 662
 name scat-inet
exit
!
interface gigabitethernet1/0/11                       
 description Test-PC
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected tengigabitethernet1/0/1
exit
!
interface gigabitethernet1/0/23                       
 description Internet
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662
 switchport protected tengigabitethernet1/0/2
 switchport protected-port
exit
!
interface tengigabitethernet1/0/1
 loopback-detection enable
 description Scat-dna0
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected gigabitethernet1/0/11
exit
!
interface tengigabitethernet1/0/2
 loopback-detection enable
 description Scat-dna1
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662                          
 switchport protected gigabitethernet1/0/23
exit
!

Группы изоляции:

gi 1/0/11 - мой компьютер
te 1/0/1 - dna0 ската

te 1/0/2 - dna1 ската

gi 1/0/23 - выход в локалку (инет)

 

Почему одних вланов было недостаточно сказать не могу.

[nemo_lynx]

 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661

Думаю, собака тут порылась. Зачем порты 11 и 23 работают в таком экзотическом режиме? Из практики и опыта - видение совмещения тегированного и нетегированного трафика почти у всех вендоров различается кардинально. Отсюда то, что, к примеру вполне себе работает на цисках, нихера не хочет работать на другом железе. Проприетарщина сплошная. Если уж надо прогнать несколько вланов, гоните их все тегированные, запретив полностью нетегированный трафик. Это исключит петли на 100%.

П.С. Изоляция портов конечно же рулит, но в данном случае это таки костыль.

Edited December 20, 2017 by nemo_lynx

[alexwin]

В 28.11.2017 в 20:41, alibek сказал:

Главное чтобы весь трафик L2 или L3 проходил через него.

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

[bike]

32 минуты назад, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет).

Да.

32 минуты назад, alexwin сказал:

Pppoe умеет расковыривать?

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

[alexwin]

1 час назад, bike сказал:

Да.

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

[YuryD]

В 21.01.2018 в 14:22, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

В 21.01.2018 в 16:32, alexwin сказал:

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

[alexwin]

15 минут назад, YuryD сказал:

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

Спс,уже разобрались.

[YuryD]

1 минуту назад, alexwin сказал:

Спс,уже разобрались.

 Не в всём... Кто теперь Скат, итград или васэкспертс, это критично.

[DimaM]

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

многие западные компании так работают, у того же оракл начальные уровни ТП осуществляются через его местных партнеров

 

 

[YuryD]

17 часов назад, DimaM сказал:

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

 

 

 Спасибо, теперь буду точно знать, кого по бумагам и бюстгалтерии напрягать, а кого по функционалу, но конкретно :) Мне же не интересны типовые запросы :) Хотя - как посмотреть, для меня может и ужосужос, а где-то глобальность зарыта. Скажем так, ваш саппорт меня вполне устраивает, только бы не директору а мне счета на емайл приходили... Ибо они нихрена о фильтрации и обновлениях обычно не задумываются. А я таки привык со счетами на такое рулить. Уведомление - мне, счёт из ЛК печатаю, тащу на визирование директору, а с его визой - главбуху. В общем - хочу ЛК хотя бы как у никру.

[dts]

Коллеги, поругайте схему включения Ската "в разрыв" на одном коммутаторе, будет работать?

И в догонку - можно ещё один линк пустить в обход Ската, как резерв на случай падений скатовского демона? С RSTP и Скатом глюков не будет?

 

[alibek]

Нужно карту с байпасом брать, это лучше, чем резервный линк.