Urs_ak Опубликовано 28 ноября, 2017 · Жалоба Подскажите, пожалуйста Допускается ли схема подключения СКАТа "в разрыв" через коммутатор ? У кого-нибудь так сделано? Например в случае, если производительный СКАТ один, а Бордеров и Брасов несколько. Картинка для наглядности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2017 · Жалоба Я думаю, ему это без разницы. Главное чтобы весь трафик L2 или L3 проходил через него. А из приведенной схемы этого не видно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 28 ноября, 2017 · Жалоба у нас так сделано, работает нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 28 ноября, 2017 · Жалоба Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо. Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое. Только что, MrNv сказал: у нас так сделано, работает нормально. Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 ноября, 2017 · Жалоба У нас вообще тупо 10-ка до бордера вся через СКАТ прогнана. Со всеми VLAN-ами и их тэгами. Т.е., скат стоит в разрыв между бордером и коммутатором ядра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 28 ноября, 2017 · Жалоба 25 минут назад, snvoronkov сказал: Т.е., скат стоит в разрыв между бордером и коммутатором ядра. Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 ноября, 2017 · Жалоба У нормальных скатов сетёвки как правило многопортовые, у меня их 6 штук. Соотв 3 независимых канала фильтрации можно сделать, от брасов-насов до бордеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 20 декабря, 2017 · Жалоба А как это реализовано на самом коммутаторе у вас? Порты в режиме access в разных вланах? spanning-tree не гасит порты? У меня Eltex MES3324F. Два 10Г интерфейса на скат в акцессе в разных вланах. rstp переводит один из портов в backup. Отключал spanning-tree в l2 начинает штормить. Глюк элтекса такой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 20 декабря, 2017 · Жалоба 9 минут назад, Dimic сказал: А как это реализовано на самом коммутаторе у вас? Порты в режиме access в разных вланах? Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 20 декабря, 2017 · Жалоба 14 минут назад, nemo_lynx сказал: Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) . Так у меня так и настроено. Eltex - te1 (access pvid 661) ----> dna0 scatdpi Eltex - te2 (access pvid 662) <---- dna1 scatdpi И все равно штормит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 20 декабря, 2017 · Жалоба Спаннинг-три (за исключением MSTP) похеру на вланы. Отключите его на этих портах вообще, ничего не должно штормить. А чтобы свич не захлебнулся одинаковыми МАС в двух вланах, сделайте между брасом и бордером отдельную подсеть L3 - чтобы между ними бегали пакетики всего с 2-мя MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 20 декабря, 2017 · Жалоба В 28.11.2017 в 14:49, Urs_ak сказал: Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо. Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое. Спасибо Вариант 1 - для случая, когда между брасом и бордером один или более вланов, каждый из которых надо обслужить СКАТом. Вариант 2 - только для случая, когда через СКАТ нужно прогнать ОДИН влан. В этом случае порты на свиче, в которые подключается СКАТ, должны быть access в РАЗНЫХ вланах. Например, так: Switch - port1 (access pvid 10) ----> dna0 scatdpiSwitch - port2 (access pvid 20) <---- dna1 scatdpi Switch - port3 (trunk vid 20) ----> Border1Switch - port4 (trunk vid 10) <---- Bras1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 20 декабря, 2017 · Жалоба Это все понятно. Все это будет в отдельном L2 и L3 между ядром и бордером. Но сейчас, когда я на тест запустил свой СКАТ в офисной локалке, включив DPI в Eltex между своим компьютером и собственно локалкой, локалка умерла от шторма. Думаю, все же, проблема в элтексе. На будущее решил перестраховаться, спросить здесь на всякий случай кто как настроил. Кстати, проблему на элтексе решил, помимо отключения spanning-tree на портах, путем изоляции на L2 портов друго от друга при помощои фичи protected port. Коммутатор флудить перестал. Вот конфиг: interface vlan 661 name testpc-scat exit ! interface vlan 662 name scat-inet exit ! interface gigabitethernet1/0/11 description Test-PC spanning-tree disable spanning-tree bpdu filtering spanning-tree bpduguard enable switchport mode general switchport general allowed vlan add 666 tagged switchport general allowed vlan add 661 untagged switchport general pvid 661 switchport protected tengigabitethernet1/0/1 exit ! interface gigabitethernet1/0/23 description Internet spanning-tree disable spanning-tree bpdu filtering spanning-tree bpduguard enable switchport mode general switchport general allowed vlan add 666 tagged switchport general allowed vlan add 662 untagged switchport general pvid 662 switchport protected tengigabitethernet1/0/2 switchport protected-port exit ! interface tengigabitethernet1/0/1 loopback-detection enable description Scat-dna0 spanning-tree disable spanning-tree bpdu filtering spanning-tree bpduguard enable switchport mode general switchport general allowed vlan add 661 untagged switchport general pvid 661 switchport protected gigabitethernet1/0/11 exit ! interface tengigabitethernet1/0/2 loopback-detection enable description Scat-dna1 spanning-tree disable spanning-tree bpdu filtering spanning-tree bpduguard enable switchport mode general switchport general allowed vlan add 662 untagged switchport general pvid 662 switchport protected gigabitethernet1/0/23 exit ! Группы изоляции: gi 1/0/11 - мой компьютер te 1/0/1 - dna0 ската te 1/0/2 - dna1 ската gi 1/0/23 - выход в локалку (инет) Почему одних вланов было недостаточно сказать не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 20 декабря, 2017 (изменено) · Жалоба switchport general allowed vlan add 666 tagged switchport general allowed vlan add 661 untagged switchport general pvid 661 Думаю, собака тут порылась. Зачем порты 11 и 23 работают в таком экзотическом режиме? Из практики и опыта - видение совмещения тегированного и нетегированного трафика почти у всех вендоров различается кардинально. Отсюда то, что, к примеру вполне себе работает на цисках, нихера не хочет работать на другом железе. Проприетарщина сплошная. Если уж надо прогнать несколько вланов, гоните их все тегированные, запретив полностью нетегированный трафик. Это исключит петли на 100%. П.С. Изоляция портов конечно же рулит, но в данном случае это таки костыль. Изменено 20 декабря, 2017 пользователем nemo_lynx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 января, 2018 · Жалоба В 28.11.2017 в 20:41, alibek сказал: Главное чтобы весь трафик L2 или L3 проходил через него. То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 21 января, 2018 · Жалоба 32 минуты назад, alexwin сказал: То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Да. 32 минуты назад, alexwin сказал: Pppoe умеет расковыривать? Скат даже терминировать PPPOE умеет, не то что "расковыривать". П.С. Тут очень подробно расписано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 21 января, 2018 · Жалоба 1 час назад, bike сказал: Да. Скат даже терминировать PPPOE умеет, не то что "расковыривать". П.С. Тут очень подробно расписано. Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 февраля, 2018 · Жалоба В 21.01.2018 в 14:22, alexwin сказал: То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать? Он всё умеет, он DPI, от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут. В 21.01.2018 в 16:32, alexwin сказал: Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу? Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 11 февраля, 2018 · Жалоба 15 минут назад, YuryD сказал: Он всё умеет, он DPI, от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут. Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската. Спс,уже разобрались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 февраля, 2018 · Жалоба 1 минуту назад, alexwin сказал: Спс,уже разобрались. Не в всём... Кто теперь Скат, итград или васэкспертс, это критично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 11 февраля, 2018 · Жалоба итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс многие западные компании так работают, у того же оракл начальные уровни ТП осуществляются через его местных партнеров Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 12 февраля, 2018 · Жалоба 17 часов назад, DimaM сказал: итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс Спасибо, теперь буду точно знать, кого по бумагам и бюстгалтерии напрягать, а кого по функционалу, но конкретно :) Мне же не интересны типовые запросы :) Хотя - как посмотреть, для меня может и ужосужос, а где-то глобальность зарыта. Скажем так, ваш саппорт меня вполне устраивает, только бы не директору а мне счета на емайл приходили... Ибо они нихрена о фильтрации и обновлениях обычно не задумываются. А я таки привык со счетами на такое рулить. Уведомление - мне, счёт из ЛК печатаю, тащу на визирование директору, а с его визой - главбуху. В общем - хочу ЛК хотя бы как у никру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dts Опубликовано 13 мая, 2018 · Жалоба Коллеги, поругайте схему включения Ската "в разрыв" на одном коммутаторе, будет работать? И в догонку - можно ещё один линк пустить в обход Ската, как резерв на случай падений скатовского демона? С RSTP и Скатом глюков не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 мая, 2018 · Жалоба Нужно карту с байпасом брать, это лучше, чем резервный линк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...