BM-21 Posted October 14 · Report post Господа сетевики, админы и все причастные, имеется вопрос. Админим сеть небольшого предприятия на 2500 пользователей и 200+ единиц коммутаторов. Основа парка - Cisco 2960 и в меньшей степени - 3560/3650/3750/3850. Постепенно встаёт вопрос о замене оборудования, и вот вопрос - что нынче умеют новые L2 и L3-коммутаторы? Что полезного появилось в технологиях для коммутаторов доступа, в сравнении с 2960? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted October 14 · Report post Ну вообще-то мир перешел на Гигабитные и 10 Гигабитные сети и появилась поддержка IPv6, а вам то что надо? Циска оно же "вечная", зачем менять если всё работает и всего хватает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 14 · Report post Большая часть коммутаторов на доступе и так гигабитные, но в рамках сети предприятия - не очень актуально, на самом деле. Cisco-то вечная, да вот скоро нас "попросят" заменить её на что-нибудь. Политика. ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 14 · Report post А что за предприятие и какие из функций задействованы? А то во многих сетях по сути только сегментирование по VLAN и нужно, а это умеют практически все. Если нужна замена на отечественное оборудование, то вероятно это Eltex. У нас разных Eltex (в основном 2324/2424) несколько сотен, периодически "горят", но в чистом охлаждаемом помещении со стабильным питанием скорее всего будут работать надежно. QTECH не брали очень давно, отказались из-за испортившейся ТП. SNR используем, но нечасто — мы используем коммутаторы со встроенным ИБП и подключаемым АКБ, а у Нага этот вопрос до сих пор не решен нормально. Но на предприятии по идее эта функция не особо нужна. Если говорить за конфигурирование и CLI, то лично мне SNR кажется удобнее, чем Eltex. Но если у вас сеть предприятия на 200 коммутаторов, то скорее всего используется какая-нибудь система управления, а в этом случае CLI значения не имеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 14 · Report post Предприятие обычное, кое-чего считает и проектирует, пользователи ничего особенного по сети не делают. Можно сказать, что обмениваются табличками через файл-сервер. ) По большому счёту, от нынешних коммутаторов доступа кроме сегментирования сети, RADIUS, SSH и сбора статистики по SNMP ничего больше и не требуется, т.е. функционал 20-и летней давности. )) Потому и вопрос возник, что нового нынче есть на рынке, какие полезные функции появились (может, по безопасности чего интересного изобрели). Да, Элтекс наиболее вероятная альтернатива. Может, еще Хуавей S5735 (есть уже десяток штук в работе), но он жирноват для доступа, на мой взгляд. QTECH, SNR, D-Link, 3Com, Planet - всё щупал во времена работы в провайдере. Спасибо, что напомнили. "Старые имена звучат как музыка". ) Как ни странно, но системой управления не пользуемся, ибо всё настраивается один раз на годы вперёд. ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 14 · Report post Мое ИМХО: 1) Если есть возможность остаться на 2960, останьтесь на них. Они будут работать; 2) Если скажут переходить строго на отечественное. Я бы пробовал Eltex. Но надо их брать на тест, не верьте тому что говорит вендор. Нужно самому брать и тестить функционал, который планируете использовать; 3) QTECH - ни в коем случае; 4) SNR я бы попробовал. Цены норм и функционал завезли. Если отечественное необязательно. Я бы смотрел в сторону Huawei. Можно взять на тест что-то из того что ввозят: Maipu, Ruijie, DCN, Zyxel Если придет продаван со своими микротиками- советую не слушать его. Микротики это не ваш случай. 4 минуты назад, BM-21 сказал: Может, еще Хуавей S5735 (есть уже десяток штук в работе), но он жирноват для доступа, на мой взгляд. Если у вас есть уже Хуавей, зачем плодить зоопарк. Просто подберите более подходящую модель для вашего случае. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 14 · Report post Цитата кроме сегментирования сети, RADIUS, SSH и сбора статистики по SNMP ничего больше и не требуется Про RADIUS непонятно. Это для централизованного администрирования (TACACS или подобное) или сервисы для пользователей? Остальное есть у всех. То есть если других требований нет, то смотреть разве что на габариты и энергопотребление. Ну и цену, конечно. Различные привязки порт/MAC/IP есть у всех, хотя не знаю, насколько это востребовано в энтерпрайзе. У Cisco еще voice vlan есть, но раз IP-телефония не упоминалась, значит вам это не нужно. Если на коммутаторах используется минимальный L3, то смотреть поддержку протоколов маршрутизации. Но опять же, ospf и bgp есть почти у всех, а остальное вряд ли нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
witch Posted October 14 · Report post Если политика лезет в систему, ничем хорошим это не закончится. Сын программиста спрашивает у отца: - Папа, а вот почему солнце встает на Востоке, а заходит на Западе? Программист: - Сынок, вот работает, и не трогай… Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 14 · Report post " 1) Если есть возможность остаться на 2960, останьтесь на них. Они будут работать; " Нет, такой возможности нет. Единственное, что апгрейд будет постепенным, в течение года-двух. " Если у вас есть уже Хуавей, зачем плодить зоопарк. Просто подберите более подходящую модель для вашего случае. " Обеими руками "За". ) Но, что-то случилось, и Хуавей больше не покупается. Все закупки одобряются где-то высоко, и похоже, что список доверенных вендоров там стремительно сокращается. Зоопарк в данных условиях уже неизбежен. " Про RADIUS непонятно. " Пардон, мне надо было сразу написать, что это для администрирования. Телефония пока в зачаточном состоянии, но будет развиваться. Если смотреть Элтекс, неужели у них не реализован голосовой VLAN? Из протоколов маршрутизации пользуемся EIGRP и BGP. В динамической маршрутизации внутри сети нет особой необходимости, просто много лет назад настроенный EIGRP продолжает работать и его не трогают. ) Будет необходимость - за день-два можно всё переделать на статическую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 14 · Report post Голосовой VLAN много у кого есть, просто есть нюансы реализации и если везде ранее использовалось Cisco, то при переходе могут быть затруднения. (лично IP-телефонию не использовал, но знакомые рассказывали) Если сейчас никак не используется, то можно особо не заморачиваться. Что касается динамической маршрутизации — тут надо смотреть не столько на протоколы, сколько на лимиты. У некоторых бюджетных L3-коммутаторов очень скромные лимиты на число интерфейсов или маршрутов, при миграции с Cisco тоже нужно будет учитывать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 14 · Report post 3 часа назад, BM-21 сказал: Но, что-то случилось, и Хуавей больше не покупается. А вы думаете наше импортозамещение как-то по другому работает? Оно так же может случиться и не покупаться. Либо перестанут приезжать компоненты для сборки, либо железки для переклейки. А при желании даже сейчас можно и Циску и Хуавей привезти. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted October 14 · Report post Если cisco то можно поглядеть на C1000 модели ()https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-1000-series-switches/nb-06-cat1k-ser-switch-ds-cte-en.html) , прямая замена c2960, но они не умеют rspan, если подороже то cisco c9200L (2500$/3000$) штука в рамках тендера берём. Если отечественное, то однозначно элтекс Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted October 14 · Report post 12 часов назад, BM-21 сказал: что нынче умеют новые L2 и L3-коммутаторы? Умеют SDN и всякие новые протоколы управления, вроде REST, но, поскольку системы управления у вас как таковой нет, то и фишки эти без надобности. Имеют получше процы - лучше выдерживают всякий мусор и побольше буфер пакетный - лучше выдерживают неравномерный трафик типа переливки из более скоростных портов в менее скоростные. Тут уже от устройства вашей сети и уровня ее безопасности в целом зависит, насколько это будет вам заметно. Веб-интерфейсы стали позволять реально что-то настраивать и смотреть - если нужен низкий порог вхождения для техподдержки. Шифровать канал управления умеют актуальными алгоритмами, так чтобы пароль из дампа трафика не достать на ПК с видеокартой в близком к реальному времени. Рекомендую, однако, поинтересоваться и насчёт, чего современные свитчи больше НЕ умеют - например, стекироваться на уровне HW с OOB связью, теперь пластмассовый мир победил только софткластеры поверх опорной сети. В целом, 2060 было достойное железо, и везучие экземпляры имеют шансы проработать еще лет пять, хотя смерть флешек и БП уже скорее ожидаемое явление. Но у вас, я так понял, драйвер модернизации - политика и комплаенс, так что тут стоит не на форуме интересоваться сначала, а в родной СБ или что у вас за бзжпснсть отвечает, а то ведь и с Китаем дружба...такая себе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 15 · Report post " Что касается динамической маршрутизации — тут надо смотреть не столько на протоколы, сколько на лимиты. У некоторых бюджетных L3-коммутаторов очень скромные лимиты на число интерфейсов или маршрутов, при миграции с Cisco тоже нужно будет учитывать. " Спасибо, принято. " А вы думаете наше импортозамещение как-то по другому работает? Оно так же может случиться и не покупаться. " Даже не сомневаюсь. ) Покупка Cisco больше невозможна, её просто не согласует безопасность. И Хуавей, судя по всему, тоже. " Рекомендую, однако, поинтересоваться и насчёт, чего современные свитчи больше НЕ умеют - например, стекироваться на уровне HW с OOB связью, теперь пластмассовый мир победил только софткластеры поверх опорной сети. " Полезное замечание, спасибо. В общем-то, вполне проживём и без стекирования вовсе. " Тут уже от устройства вашей сети и уровня ее безопасности в целом зависит, насколько это будет вам заметно. " Да как Вам сказать... Более производительная железка - всегда приятно. Но, среднесуточный график загрузки канала с офисов до ядра сети (например), заставил бы улыбнуться админа типичного подвального провайдера. ) Спасибо всем за участие. ) Если будут еще полезные замечания, приму к сведению. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 15 · Report post " В целом, 2060 было достойное железо, и везучие экземпляры имеют шансы проработать еще лет пять, хотя смерть флешек и БП уже скорее ожидаемое явление. " Кстати, в хороших условиях они и ныне себя прекрасно чувствуют. Под рукой в работе масса коммутаторов ~2005 года выпуска, за год бывает и ни одного выхода из строя. Кое-где, на задворках сети оставалось немного 2950-х, те постепенно выбывают с блоками питания. Всё же, работа в условиях серверной, с охлаждением и стабильным питанием - это не суровые провайдерские условия, на чердаках и подвалах. И я прекрасно помню, какие бывают у провайдеров грозы. ) Так что еще жить да жить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 15 · Report post 2 часа назад, BM-21 сказал: Даже не сомневаюсь. ) Покупка Cisco больше невозможна, её просто не согласует безопасность. И Хуавей, судя по всему, тоже. Ну тогда вам лучше понять какие требования к новым коммутаторам со стороны СБ, а потом уже выбирать. Главное помните, хорошего оборудования, уровня Cisco или Huawei в импортозамесе нет и не будет. Элтекс вам тут советуют, не потому что это супер железки, а потому что это лучшее из худшего. В любом случае нужно брать и тестировать, тщательно тестировать каждое устройство из серии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BM-21 Posted October 15 · Report post " Главное помните, хорошего оборудования, уровня Cisco или Huawei в импортозамесе нет и не будет. Элтекс вам тут советуют, не потому что это супер железки, а потому что это лучшее из худшего. " Спасибо. А если можно, расскажите подробнее, чем Элтекс будет хуже (к чему готовиться)? Производительность, функционал, надёжность, поддержка? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 15 · Report post 28 минут назад, BM-21 сказал: Спасибо. А если можно, расскажите подробнее, чем Элтекс будет хуже (к чему готовиться)? Производительность, функционал, надёжность, поддержка? Тут сложно что-то отдельно выделить. По моему опыту было такое что какие-то технологии, которые заявлялись вендром, либо работали не так как ожидалось, либо совсем не работали. Поэтому лучше решить сразу какой функционал вам потребуется и полностью его протестировать. С точки зрения поддержки, тоже не все так просто. Документация есть, но ее далеко не всегда достаточно, форум они закрыли. Есть чатик в телеге, но это такое себе ИМХО. С самой ТП связываться не приходилось, тут не могу сказать. Какого-то мирового опыта в сети вы тоже не найдете, т.к. Элтекс только у нас. Насколько я знаю они сами пилят свои железки. И это с одной стороны хорошо- они должны лучше всех знать как оно работает, а с другой стороны, в случае переклейки, у вас нет опции найти оригинального вендора и поискать проблему на его ресурсах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 15 · Report post Цитата С самой ТП связываться не приходилось, тут не могу сказать. По коммутаторам доступа (уровня MES2124/2324/2424) связываться в ТП не приходилось, там все достаточно просто и предсказуемо. Хотя вспомнил, обращались сотрудники, ответ был не очень быстрый, но подсказывали. Была какая-то проблема с LACP на MES5324A — подсказали оперативно, заработало. Были разные вопросы с ESR-1000. Если ответы вида "ткнуть на страницу в документации", то подсказывали быстро. Если какая-то неясная проблема, то начинают заводить шарманку вида "сделайте стенд, снимите кучу дампов, пришлите нам, мы подумаем", но если постоянно пинать, то вопрос решается. Если это какой-то баг или глючная/нереализованная фича, то решение может очень затянуться. Цитата к чему готовиться Когда брали MES1124 и MES2124, то очень неприятно удивил тормозной CLI и слабый CPU. Но на MES2324 стало приемлемо. Ну и всякие мелочи могут досаждать, всех не припомню, но их хватает. На каких-то моделях коммутаторов нельзя зеркалировать трафик с CPU, только с интерфейсов. На MES2124MB нельзя посмотреть уровень заряда АКБ (только статус заряжается / разряжается / в ожидании). На MES2324 и MES2424 в разных версиях меняются форматы названий интерфейсов (где-то 0/0/1, где-то 1/0/1, где-то 0/1). На некоторых версиях 2424 в CLI название интерфейса нужно указывать полностью (то есть "int gi 0/0/1" не сработает, нужно писать полностью gigabitEthernet). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 15 · Report post В 14.10.2024 в 09:39, BM-21 сказал: Потому и вопрос возник, что нового нынче есть на рынке, какие полезные функции появились (может, по безопасности чего интересного изобрели). Сейчас в тренде L3 транспорт. То есть компьютер или телефонный аппарат подключаете прямо с порта коммутатора / роутера, IP адрес установлен сразу на порту. Больше никаких вланов и L2 не требуется. Безопасность на высоте. Все устройства связываются протоколом OSPF. Приоритеты трафика можно обрабатывать на основе IP адресов и подсетей. А не вланов, как было ранее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted October 15 · Report post 2 часа назад, BM-21 сказал: . А если можно, расскажите подробнее, чем Элтекс будет хуже (к чему готовиться)? Многие технологии реализованы под конкретного клиента (госы/газмяс, etc). Соответственно, они были отлажены и работают у этого конкретного клиента. Если у вас топология и нужды другие, то предстоит долгая работа с поддержкой, пока допилят под вас. Это для всех аналоговнетных заместителей, на 95% соответствующих натуральному, характерно. Элтекс советуют вам ещё и потому, что он самый большой, у него много внедрений, и шансов, что реализация того или сего "попадёт" в ваши нужды тоже больше. Однозначно рекомендю на их курсы прорваться самому или кому-то отправиться, поможет вхождению. Есть ещё такая проблема как партийность. Опять же собирается продукт под большой жирный заказ, что-то с заказа не понадобилось/сократился заказ - остатки пошли простым смертным. И потом модель могут ещё год не производить, а когда снова большой заказ - уже слегка другая комплектуха, тянущая за собой слегка другой софт. В лучших традициях D-Link, когда очень важно смотреть на буковки HW ревизии и понимать, что разница в поведении - скорее ожидаема. Ну и главная проблема - что железа тупо может не быть в нужный момент. Придётся брать талончик и становиться в очередь, и слушать от менеджеров-продажниклв завтраки и послезавтраки. С учётом санкций, у отечественных вендоров, чувствую, уже выглядит все так: приехал КАМАЗ с Казбекистана, вывалил с кузова гору комплектухи, вендоры бросаются тащить из кучи что могут как муравьи, и звонят на завод: Борян, я DRAM и радиомодули ухватил, звони мужикам, включай конвейер - делаем WiFi точки! Гиперболизирую, конечно, но не так уже и слишком, санкции обьективно дают проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted October 15 · Report post 1 час назад, alibek сказал: интерфейса нужно указывать полностью (то есть "int gi 0/0/1" не сработает, нужно писать полностью Вот это кстати да. Было три разные модели, у всех CLI отличалось немного. Приходилось каждый раз вспоминать что за железка и вспоминать эти особенности. 1 час назад, alibek сказал: Если это какой-то баг или глючная/нереализованная фича, то решение может очень затянуться. А может так получиться, что вы убьете несколько месяцев на такие пляски с дебагом, а потом вам ответят: "Ну не шмогли мы в MLAG, юзайте наш стек"... Кстати, вспомнил, если будете юзать стек, проверяйте его на предмет времени восстановления связи после отключения мастера. На некоторых моделях, это может несколько минут длиться. Т.е. если мастер коммутатор сказал досвидос, пользователи будут ждать пока бепкап коммутатор догрузится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TriKS Posted October 15 (edited) · Report post 4 часа назад, Saab95 сказал: Безопасность на высоте. Все устройства связываются протоколом OSPF. Вам рассказать как можно подменить соседа? ))) Можно санонсить дефолт и получить весь трафик.... Ну или санонсить публичный ДНС и поиметь все запросы клиентов? Ааа ну да. Этож не тырпрайз. В чердакнете оно покую... Как там, при флапе нейборов и пересчете деревьев ЦПУ не штормит на CRSах? ))) О сколько же открытий новых предстоит узнать продавцам микротиков... Edited October 15 by TriKS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted October 15 · Report post 7 минут назад, TriKS сказал: Вам рассказать как можно подменить соседа? ))) Можно санонсить дефолт и получить весь трафик.... Ну или санонсить публичный ДНС и поиметь все запросы клиентов? Ааа ну да. Этож не тырпрайз. В чердакнете оно покую... Как там, при флапе нейборов и пересчете деревьев ЦПУ не штормит на CRSах? ))) О сколько же открытий новых предстоит узнать продавцам микротиков... Не то что бы я когда-то в серьез пробовал но в OSPF же есть что-то такое. (не то что бы md5 суперзащита но все же так в лоб не подменить) R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# interface e0/0 R1(config-if)# ip ospf authentication message-digest R1(config-if)# ip ospf message-digest-key 1 md5 Cisco R1(config-if)# end R1# А есть еще ASR1001-lab(config-if)#ip ospf authentication key-chain Хотя это может устаревшие технологии Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted October 15 · Report post В МТ тоже есть: Цитата Specifies authentication method for OSPF protocol messages. simple - plain text authentication md5 - keyed Message Digest 5 authentication sha - HMAC-SHA authentication RFC5709 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...