Jump to content
Калькуляторы

СКАТ в разрыв через коммутатор

Подскажите, пожалуйста

 

Допускается ли схема подключения СКАТа "в разрыв" через коммутатор ?

У кого-нибудь так сделано?

 

Например в случае, если производительный СКАТ один, а Бордеров и Брасов несколько.

 

Картинка для наглядности.

СКАТ через коммутатор.png

Share this post


Link to post
Share on other sites

Я думаю, ему это без разницы.

Главное чтобы весь трафик L2 или L3 проходил через него.

А из приведенной схемы этого не видно.

Share this post


Link to post
Share on other sites

у нас так сделано, работает нормально.

Share this post


Link to post
Share on other sites

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

СКАТ через коммутатор2.png

 

Только что, MrNv сказал:

у нас так сделано, работает нормально.

Спасибо

Share this post


Link to post
Share on other sites

У нас вообще тупо 10-ка до бордера вся через СКАТ прогнана. Со всеми VLAN-ами и их тэгами. Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

Share this post


Link to post
Share on other sites
25 минут назад, snvoronkov сказал:

Т.е., скат стоит в разрыв между бордером и коммутатором ядра.

Спасибо

Share this post


Link to post
Share on other sites

 У нормальных скатов сетёвки как правило многопортовые, у меня их 6 штук. Соотв 3 независимых канала фильтрации можно сделать, от брасов-насов до бордеров.

Share this post


Link to post
Share on other sites

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

spanning-tree не гасит порты?

 

У меня Eltex MES3324F. Два 10Г интерфейса на скат в акцессе в разных вланах. rstp переводит один из портов в backup.
Отключал spanning-tree в l2 начинает штормить. Глюк элтекса такой?

Share this post


Link to post
Share on other sites
9 минут назад, Dimic сказал:

А как это реализовано на самом коммутаторе у вас?

Порты в режиме access  в разных вланах?

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

Share this post


Link to post
Share on other sites
14 минут назад, nemo_lynx сказал:

Ну да, иначе кольцо получится. Так что элтекс ведется себя вполне правильно :) .

Так у меня так и настроено. 

Eltex - te1 (access pvid 661)  ----> dna0 scatdpi
Eltex - te2 (access pvid 662)  <---- dna1 scatdpi

И все равно штормит. 

Share this post


Link to post
Share on other sites

Спаннинг-три (за исключением MSTP) похеру на вланы. Отключите его на этих портах вообще, ничего не должно штормить. А чтобы свич не захлебнулся одинаковыми МАС в двух вланах, сделайте между брасом и бордером отдельную подсеть L3 - чтобы между ними бегали пакетики всего с 2-мя MAC.

Share this post


Link to post
Share on other sites
В 28.11.2017 в 14:49, Urs_ak сказал:

Гм, не видно? Имеется в виду, что трафик между BRAS1 и Border1 идёт через СКАТ, а он воткнут в коммутатор ядра, а не прямо.

 

Хочется подтверждений, что так тоже будет работать и не вылезет что-то несовместимое.

СКАТ через коммутатор2.png

 

Спасибо

Вариант 1 - для случая, когда между брасом и бордером один или более вланов, каждый из которых надо обслужить СКАТом.

 

Вариант 2 - только для случая, когда через СКАТ нужно прогнать ОДИН влан. В этом случае порты на свиче, в которые подключается СКАТ, должны быть access в РАЗНЫХ вланах. Например, так:

Switch - port1 (access pvid 10)  ----> dna0 scatdpi
Switch - port2 (access pvid 20)  <---- dna1 scatdpi

Switch - port3 (trunk vid 20)  ----> Border1
Switch - port4 (trunk vid 10)  <---- Bras1

Share this post


Link to post
Share on other sites

Это все понятно. Все это будет в отдельном L2 и L3 между ядром и бордером. 
Но сейчас, когда я на тест запустил свой СКАТ в офисной локалке, включив DPI в Eltex между своим компьютером и собственно локалкой, локалка умерла от шторма. 

Думаю, все же, проблема в элтексе. На будущее решил перестраховаться, спросить здесь на всякий случай кто как настроил.

 

Кстати, проблему на элтексе решил, помимо отключения spanning-tree на портах, путем изоляции на L2 портов друго от друга при помощои фичи protected port. Коммутатор флудить перестал.

Вот конфиг:

 

interface vlan 661
 name testpc-scat
exit
!
interface vlan 662
 name scat-inet
exit
!
interface gigabitethernet1/0/11                       
 description Test-PC
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected tengigabitethernet1/0/1
exit
!
interface gigabitethernet1/0/23                       
 description Internet
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662
 switchport protected tengigabitethernet1/0/2
 switchport protected-port
exit
!
interface tengigabitethernet1/0/1
 loopback-detection enable
 description Scat-dna0
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661
 switchport protected gigabitethernet1/0/11
exit
!
interface tengigabitethernet1/0/2
 loopback-detection enable
 description Scat-dna1
 spanning-tree disable
 spanning-tree bpdu filtering
 spanning-tree bpduguard enable
 switchport mode general
 switchport general allowed vlan add 662 untagged
 switchport general pvid 662                          
 switchport protected gigabitethernet1/0/23
exit
!

Группы изоляции:

gi 1/0/11 - мой компьютер
te 1/0/1 - dna0 ската


te 1/0/2 - dna1 ската

gi 1/0/23 - выход в локалку (инет)

 

Почему одних вланов было недостаточно сказать не могу.

Share this post


Link to post
Share on other sites
 switchport general allowed vlan add 666 tagged
 switchport general allowed vlan add 661 untagged
 switchport general pvid 661

Думаю, собака тут порылась. Зачем порты 11 и 23 работают в таком экзотическом режиме? Из практики и опыта - видение совмещения тегированного и нетегированного трафика почти у всех вендоров различается кардинально. Отсюда то, что, к примеру вполне себе работает на цисках, нихера не хочет работать на другом железе. Проприетарщина сплошная. Если уж надо прогнать несколько вланов, гоните их все тегированные, запретив полностью нетегированный трафик. Это исключит петли на 100%.

П.С. Изоляция портов конечно же рулит, но в данном случае это таки костыль.

Edited by nemo_lynx

Share this post


Link to post
Share on other sites
В 28.11.2017 в 20:41, alibek сказал:

Главное чтобы весь трафик L2 или L3 проходил через него.

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

Share this post


Link to post
Share on other sites
32 минуты назад, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет).

Да.

32 минуты назад, alexwin сказал:

Pppoe умеет расковыривать?

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

Share this post


Link to post
Share on other sites
1 час назад, bike сказал:

Да.

Скат даже терминировать PPPOE умеет, не то что "расковыривать".

П.С. Тут очень подробно расписано.

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

Share this post


Link to post
Share on other sites
В 21.01.2018 в 14:22, alexwin сказал:

То есть его можно включить прозрачным мостом и он будет фильтровать? (как Snort умеет). Pppoe умеет расковыривать?

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

В 21.01.2018 в 16:32, alexwin сказал:

Не все страницы доступны неавторизованному пользователю,формы регистрации не вижу?

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

Share this post


Link to post
Share on other sites
15 минут назад, YuryD сказал:

 Он всё умеет, он DPI,  от лицензии зависит. И основное поведение ската - именно прозрачный мост (ну не совсем прозрачный, количество мостов от карт у вас зависит - он в них и фильтрует) И как я понял - кол-во бриждей только от кол-ва сетевых карт зависит. У меня 6портовая, и вроде 3 бриджа независимых сделать могу, и фильтровать их независимо друг от дружки, в пределах лицензии ската. Я не прав ? dna не имеют ip, соотв никаких мак-ип-коллизий-колец на бриджах сделать не смогут.

 

Там две разного цвета шляпы, Ит-град и васэкпертс. вики у васэкспертс, саппорт у итграда. Боюсь - не посрались ли они меж собой, это будет печально для пользователей ската.

Спс,уже разобрались.

Share this post


Link to post
Share on other sites
1 минуту назад, alexwin сказал:

Спс,уже разобрались.

 Не в всём... Кто теперь Скат, итград или васэкспертс, это критично.

Share this post


Link to post
Share on other sites

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

многие западные компании так работают, у того же оракл начальные уровни ТП осуществляются через его местных партнеров

 

 

Share this post


Link to post
Share on other sites
17 часов назад, DimaM сказал:

итград за комиссию оказывает техподдержку 1 (иногда 2) линии : принимает звонки, отвечает на типовые запросы, 3 линия ТП это уже точно вас эспертс

 

 

 Спасибо, теперь буду точно знать, кого по бумагам и бюстгалтерии напрягать, а кого по функционалу, но конкретно :) Мне же не интересны типовые запросы :) Хотя - как посмотреть, для меня может и ужосужос, а где-то глобальность зарыта. Скажем так, ваш саппорт меня вполне устраивает, только бы не директору а мне счета на емайл приходили... Ибо они нихрена о фильтрации и обновлениях обычно не задумываются. А я таки привык со счетами на такое рулить. Уведомление - мне, счёт из ЛК печатаю, тащу на визирование директору, а с его визой - главбуху. В общем - хочу ЛК хотя бы как у никру.

Share this post


Link to post
Share on other sites

Коллеги, поругайте схему включения Ската "в разрыв" на одном коммутаторе, будет работать?

И в догонку - можно ещё один линк пустить в обход Ската, как резерв на случай падений скатовского демона? С RSTP и Скатом глюков не будет?

 

CKAT2.thumb.png.bad43392d6a5186cf867501c22f58ca7.png

Share this post


Link to post
Share on other sites

Нужно карту с байпасом брать, это лучше, чем резервный линк.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now