Перейти к содержимому
Калькуляторы

СКАТ в разрыв через коммутатор

Подскажите, пожалуйста

 

Допускается ли схема подключения СКАТа "в разрыв" через коммутатор ?

У кого-нибудь так сделано?

 

Например в случае, если производительный СКАТ один, а Бордеров и Брасов несколько.

 

Картинка для наглядности.

СКАТ через коммутатор.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, ему это без разницы.

Главное чтобы весь трафик L2 или L3 проходил через него.

А из приведенной схемы этого не видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас так сделано, работает нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

СКАТ через коммутатор2.png

 

Только что, MrNv сказал:

у нас так сделано, работает нормально.

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас вообще тупо 10-ка до бордера вся через СКАТ прогнана. Со всеми VLAN-ами и их тэгами. Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, snvoronkov сказал:

Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 У нормальных скатов сетёвки как правило многопортовые, у меня их 6 штук. Соотв 3 независимых канала фильтрации можно сделать, от брасов-насов до бордеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

spanning-tree не гасит порты?

 

У меня Eltex MES3324F. Два 10Г интерфейса на скат в акцессе в разных вланах. rstp переводит один из портов в backup.
Отключал spanning-tree в l2 начинает штормить. Глюк элтекса такой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, Dimic сказал:

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, nemo_lynx сказал:

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

Так у меня так и настроено. 

Eltex - te1 (access pvid 661)  ----> dna0 scatdpi
Eltex - te2 (access pvid 662)  <---- dna1 scatdpi

И все равно штормит. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спаннинг-три (за исключением MSTP) похеру на вланы. Отключите его на этих портах вообще, ничего не должно штормить. А чтобы свич не захлебнулся одинаковыми МАС в двух вланах, сделайте между брасом и бордером отдельную подсеть L3 - чтобы между ними бегали пакетики всего с 2-мя MAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.11.2017 в 14:49, Urs_ak сказал:

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

СКАТ через коммутатор2.png

 

Спасибо

Вариант 1 - для случая, когда между брасом и бордером один или более вланов, каждый из которых надо обслужить СКАТом.

 

Вариант 2 - только для случая, когда через СКАТ нужно прогнать ОДИН влан. В этом случае порты на свиче, в которые подключается СКАТ, должны быть access в РАЗНЫХ вланах. Например, так:

Switch - port1 (access pvid 10)  ----> dna0 scatdpi
Switch - port2 (access pvid 20)  <---- dna1 scatdpi

Switch - port3 (trunk vid 20)  ----> Border1
Switch - port4 (trunk vid 10)  <---- Bras1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все понятно. Все это будет в отдельном L2 и L3 между ядром и бордером. 
Но сейчас, когда я на тест запустил свой СКАТ в офисной локалке, включив DPI в Eltex между своим компьютером и собственно локалкой, локалка умерла от шторма. 

Думаю, все же, проблема в элтексе. На будущее решил перестраховаться, спросить здесь на всякий случай кто как настроил.

 

Кстати, проблему на элтексе решил, помимо отключения spanning-tree на портах, путем изоляции на L2 портов друго от друга при помощои фичи protected port. Коммутатор флудить перестал.

Вот конфиг:

 

interface vlan 661
 name testpc-scat
exit
!
interface vlan 662
 name scat-inet
exit
!
interface gigabitethernet1/0/11                       
 description Test-PC
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected tengigabitethernet1/0/1
exit
!
interface gigabitethernet1/0/23                       
 description Internet
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662
 switchport protected tengigabitethernet1/0/2
 switchport protected-port
exit
!
interface tengigabitethernet1/0/1
 loopback-detection enable
 description Scat-dna0
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected gigabitethernet1/0/11
exit
!
interface tengigabitethernet1/0/2
 loopback-detection enable
 description Scat-dna1
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662                          
 switchport protected gigabitethernet1/0/23
exit
!

Группы изоляции:

gi 1/0/11 - мой компьютер
te 1/0/1 - dna0 ската


te 1/0/2 - dna1 ската

gi 1/0/23 - выход в локалку (инет)

 

Почему одних вланов было недостаточно сказать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661

Думаю, собака тут порылась. Зачем порты 11 и 23 работают в таком экзотическом режиме? Из практики и опыта - видение совмещения тегированного и нетегированного трафика почти у всех вендоров различается кардинально. Отсюда то, что, к примеру вполне себе работает на цисках, нихера не хочет работать на другом железе. Проприетарщина сплошная. Если уж надо прогнать несколько вланов, гоните их все тегированные, запретив полностью нетегированный трафик. Это исключит петли на 100%.

П.С. Изоляция портов конечно же рулит, но в данном случае это таки костыль.

Изменено пользователем nemo_lynx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.11.2017 в 20:41, alibek сказал:

Главное чтобы весь трафик L2 или L3 проходил через него.

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет).

Да.

32 минуты назад, alexwin сказал:

Pppoe умеет расковыривать?

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, bike сказал:

Да.

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 21.01.2018 в 14:22, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

В 21.01.2018 в 16:32, alexwin сказал:

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, YuryD сказал:

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

Спс,уже разобрались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, alexwin сказал:

Спс,уже разобрались.

 Не в всём... Кто теперь Скат, итград или васэкспертс, это критично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

многие западные компании так работают, у того же оракл начальные уровни ТП осуществляются через его местных партнеров

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, DimaM сказал:

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

 

 

 Спасибо, теперь буду точно знать, кого по бумагам и бюстгалтерии напрягать, а кого по функционалу, но конкретно :) Мне же не интересны типовые запросы :) Хотя - как посмотреть, для меня может и ужосужос, а где-то глобальность зарыта. Скажем так, ваш саппорт меня вполне устраивает, только бы не директору а мне счета на емайл приходили... Ибо они нихрена о фильтрации и обновлениях обычно не задумываются. А я таки привык со счетами на такое рулить. Уведомление - мне, счёт из ЛК печатаю, тащу на визирование директору, а с его визой - главбуху. В общем - хочу ЛК хотя бы как у никру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, поругайте схему включения Ската "в разрыв" на одном коммутаторе, будет работать?

И в догонку - можно ещё один линк пустить в обход Ската, как резерв на случай падений скатовского демона? С RSTP и Скатом глюков не будет?

 

CKAT2.thumb.png.bad43392d6a5186cf867501c22f58ca7.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно карту с байпасом брать, это лучше, чем резервный линк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.