L3 коммутаторы (выбор)

[sirmax]

Доброго времени суток!

 

Посоветуйте L3 коммутатор, на агрегацию внутресетевого клиентского траффика.

 

Траффик - нешейпенный, несчитанный, примерно 4*100мбит мелких пакетов.

нужные фичи

 

- как миниммум 2 гигабитных порта

- 24-48 100мбит портов

- способность переварить как минимум 1G траффика. Лучше -2G

 

Желательно

 

- возможность привязать маки к IP на портах (порты будут смотреть в клиентский сегмент), желательно - ставить привязки по SNMP

- динамическая маршруитзация (OSPF) (хотелось бы, он не обязательно)

 

Ну, и ессесно, все уже ставшие штатными фичи - вланы, ACL и пр. и пр.

 

Бюджет... скажем так, хотелось бы до $2000.

 

 

Очень не склонен к Длинку... как вариант - catalyst 3550 ?

 

Заранее спасибо.

 

PS

Если я не случайно пропустил обсуждение этой темы - прошу простить и дать ссылку.

[_Daemon_]

AT-8948

[SMH]

ES3628C Управляемый коммутатор L3 24-10/100Base-TX + 2-SFP slot + 2-10/100/1000Base-T

[vIv]

ProCurve 5348xl, если удастся попасть под акцию "первая покупка", с 48 сотками отдадут за $1K

на остатки можно докупить 4 медных гигабита ему, - даже в просто розничных ценах меньше $1K

Edited December 20, 2006 by vIv

[SergeiK]

Да, ProCurve 5348xl - машинка получится неплохая в такой схеме. Производительная более чем.

А вирус тротолинг - там вообще отличная фича.

OSPF рабочий. Даже умеет минимальную фильтрацию перфиксов делать.

 

Но вот ACL далеко не кошковый, хотя ситаксис почти один в один. (нет протоколов кроме tcp|udp, tcp опций, типи setup|established).

Отсутствие BPDU фильтрации и вообще, по STP очень ограничен.

Вланов до 256.

 

В целом - по соотношению цена/функционал будет очень хороша, если по промо-программе. А вот за полную цену - я бы сильно подумал.

[vIv]

BPDU filtering уже сделали для 3500/5400/6200, так-что в принципе можно ждать скоро и для 5300

[sirmax]

ProCurve 5348xl - немного почитал, интересно.

 

Но мне нужно еще обязательно строгое соответствие MAC-IP

Это реально?

что то вроде arp -s <IP> <MAC>?

и таких записей до 1000 на интерфейс..

[Nailer]

ProCurve 5348xl - немного почитал, интересно.

 

Но мне нужно еще обязательно строгое соответствие MAC-IP

Это реально?

что то вроде arp -s <IP> <MAC>?

и таких записей до 1000 на интерфейс..

Берите каталист и не парьтесь.

[SergeiK]

С каталист даст поставить до 1000 ARP на интерфейс?

Что-то я не уверен.

Procurve правда не позволяет этого вообще.

 

Но уверен, что подобное решение не вполне правильное.

Фиксирование ARP-ы от подмены MAC-ов не защитит никак.

Ну да обсуждался здесь, на форуме, этот вопрос уже многократно.

[Sergey_w]

В 3Com 5500 есть такая функция check-address ,ставится на vlan.

Достаточно удобно для сети с dhcp сервером,связь есть только у тех,кто получает адрес от сервера,если прописать правильную связку ип-мак вручную свитч её не пропустит тоже.Если левый комп "сажается" на существующий ип,то виндовый dhcp помечает адрес как BAD,и в зависимости от настроек сервера выдает другой адрес или не выдает совсем.Рекомендую.

[vIv]

поиск по форуму поможет найти ответ на вопрос "почему в наши дни не стоит заморачиваться про МАС вообще"

VLAn per customer - правильная технология ;-)

Правда, именно на 5300 их всего 255... Правда, функции BRAS в первоначальном вопросе не требовались

Edited December 22, 2006 by vIv

[Nailer]

С каталист даст поставить до 1000 ARP на интерфейс?

Что-то я не уверен.

Procurve правда не позволяет этого вообще.

 

Но уверен, что подобное решение не вполне правильное.

Фиксирование ARP-ы от подмены MAC-ов не защитит никак.

Ну да обсуждался здесь, на форуме, этот вопрос уже многократно.

 

Я специально в прошлый раз для кого-то проверял на 3550-ом, забил адресов с 700. Поищите в поиске.

 

DHCP Snooping и Dynamic arp inspection на каталисте есть, но смысла применять эту фичу в ядре нет никакого..

[ayamb]

С каталист даст поставить до 1000 ARP на интерфейс? Что-то я не уверен.

Это в некоторой степени некорректное высказывание.

Статические ARP не ставятся на интерфейс! Таблица ARP общая. Просто каждая запись ARP имеет ссылку на интерфейс. Таких записей может быть на аппарате столько, сколько позволяют его мозги... различной ориентации... ACL же, на интерфейсе, осуществяющий привязку MAC-IP, в плане количесва вхождений, сильно ограничен.

[sirmax]

SergeiK

Фиксированны АРП защитит отлично, если есть привязка мак-порт

 

т.е в моем случае я привязваю маки клиентов к портам свичей уровня доступа (это, в моем случае, 3300 3ком. Иногда не привязываю, а просто мониторю, не суть важно.

 

В результате

1. если юзер сменил мак - пакет умер на его порту. В логах алерт.

2. если юзер сменил IP - то не вышел дальше шлюза + арпвоч

 

Я отлично понимаю что это не идеальное решение, но в условиях ограниченности средств...

 

vIv

Vlan на юзера - это ИМХО на текущий момент очень дорого. По крайне мере для нас. Время этой технологии еще придет.

Пока у нас еще даже не все порты управляемые =(

 

 

ALL

Пока склоняюсь к мысли брать 3550-12 каталист (12 гигабитов) +использовать один или 2 24-портовых свича с гигабитными аплинками.

[ayamb]

Эхххх... AT-8948...

AT-x900-24XT-N, AT-x900-48FE-N. N - NEBS Compliant. NEBS (Network Equipment Building System) is a series of safety and conformance standards applied to telecommunications equipment in North America.

Features of the AT-x900-48FE-N, AT-x900-48FE, AT-8948. (Два последних не проходят по NEBS.) :)

- Huge capabilities and flexibility compressed into 1RU form factor.
- Internal dual hot-swappable AC or DC load-sharing power supplies.
- Operating temperature extends to 50ºC (122ºF).
- Built from a 37.6Gbps switch fabric yielding 13.1Mpps performance.
- Layer 2 and 3 IPv4 switching and routing at wire-speed. Wire-speed multicasting at L2 and L3.
- Provides up to 256K Layer 3 IPv4 address table entries.
- Supports full 4096 VLANs with VLAN double tagging. 4096 Layer 3 interfaces.
- Private VLANs, providing security and port isolation of multiple customers within a VLAN.
- Fixed ports 48 x 10/100T & 4 x SFP (Small Form Pluggable) uplinks on the front panel. Gigabit SFP ports will support Copper and Fibre options.
- Full environmental monitoring, with alerts to network manager in case of PSU or FAN failure.
- A Compact Flash port, accessible via the front panel.
- Extensive wire-speed traffic classification. Policy-based QoS features.
- Min / max bandwidth control. bandwidth slice resolution down to 1Kbps.
- Buffered max bandwidth control at egress on all ports, and on each of 8 egress queues per port.
- Two rate three color bandwidth metering, with burst sizes for improved TCP-IP bandwidth limiting performance. Low latency for voice and multi-media support (RAD).
- Advanced routing protocols OSPF, BGP4, RIP and RIPv2, DVMRP, PIM-SM, PIM-DM.
- STP/RSTP and MSTP (802.1s).
- Port trunking (802.3ad LACP). Port mirroring.
- Asynchronous management port available via the front panel. SSH for secure management. SNMPv3.

[learner]

Эхххх... AT-8948...

А правильнее будет AT-9924SP (24xGigabitSFP)

Впахивает как зверь!

 

Internal dual hot-swappable AC or DC load-sharing power supplies 
Layer 2 and 3 IPv4 switching and routing at wire-speed 
High performance hardware-based Layer 3 IPv6 unicast and multicast routing
Provides up to 256K Layer 3 IPv4 address table entries
Supports full 4096 VLANS & 4096 Layer 3 interfaces 
VLAN Double tagging 
Private VLANs, providing security and port isolation of multiple customers within a VLAN 
Supports 9KByte Jumbo frame size
802.1x port authentication support 
Extensive wire-speed traffic classification 
Policy-based QoS features 
Min / max bandwidth control – bandwidth slice resolution down to 1Kbps 
Advanced routing protocols OSPF, BGP4, RIP and RIPv2, DVMRP, PIM-SM, PIM-DM 
Wire-speed multicasting at L2 and L3 
STP/RSTP and MSTP (802.1s) 
Port trunking (802.3ad LACP) 
Port mirroring 
SSH for secure management 
SNMPv3

[Nag]

Ага. Осталось посоветовать 65 каталист и чтот ам еще покруче-то? ;-)))

Каталист 3550 сильно переоценен, но зверек неубиваемый...

[ayamb]

Да... все время забываю написать...

У любой железяки AT L3 (AR7xx, AR4xx, AR3xx, RP24, 86xx, 87xx, 88xx, 8948, 98xx, 9924, sb4xx) есть две команды:

>set ip arp ref=off

>ena ip arp log

> sh ip
...
IP Spoof Check ................. ENABLED
...
IP ARP LOG ..................... ENABLED
IP ARP refresh by hit .......... DISABLED
IP/MAC address disparity........ DISABLED
IP ARP agepoll ................. DISABLED
...
ARP aging timer multiplier...... 512 (131072-262144 secs)
Arp wait timeout ............... 2 secs
...

В такой конфигурации, проблемы привязки MAC-IP-PORT просто не существует. А любая попытка (успешная или неуспешная) со стороны клиента, повлиять на принятые вами правила фиксируется.

[learner]

Ага. Осталось посоветовать 65 каталист и чтот ам еще покруче-то? ;-)))

Каталист 3550 сильно переоценен, но зверек неубиваемый...

9924 тож неубиваемый. Но может при неправильных действиях делать 100% CPU :(

Самое смешное, что наш первый 9924 сгорел сразу-же после включения, как только его достали из коробки :)

 

А для любителей покруче есть x900-24XS (2 x 30Gbps expansion bays (10GbE), 24 x 1000BASE-X SFP ports)

пока сидим, облизываемся...

 

Потому, что:

Built from a 150Gbps switch fabric yielding 71.4 Million packets per second performance

 

К тому, кто знает: вопрос вот в чем

The x900-24X QoS features are ideal for service providers

wanting to ensure maximum availability of premium voice, video and data services, and at

the same time manage customer service level agreements.

 

Интересно, в чем это выражено? Может, он уже sflow умеет отдавать?

[Nag]

Ну осталось мне еще Фаундри посватать. ;-)

Что-то типа такого

[sirmax]

Чем дольше думаю тем более склонаюсь к каталисту....

ОСПФ у него по крайне мере 100% рабочий - а это то чт нужно =)

 

Единственное что пока еще смущает - так и не определился с колл-вом привязок

 

кроме

Я специально в прошлый раз для кого-то проверял на 3550-ом, забил адресов с 700.

еще кто то пробовал?

 

Спасибо.

 

Nag

Спасибо за советы.. но стремно как то... "темная лошадка".

[Vlad Karagezov, D-Link]

Доброго времени суток!

 

Посоветуйте L3 коммутатор, на агрегацию внутресетевого клиентского траффика.

 

Траффик - нешейпенный, несчитанный, примерно 4*100мбит мелких пакетов.

нужные фичи

 

- как миниммум 2 гигабитных порта

- 24-48 100мбит портов

- способность переварить как минимум 1G траффика. Лучше -2G

D-Link DES-3828 - возьмите на тест, сами проверите, насколько железка соответсвует требованиям. Edited December 26, 2006 by Vlad Karagezov, D-Link

[vlads]

D-Link DES-3828 - возьмите на тест, сами проверите, насколько железка соответсвует требованиям.

по 3828 есть следующая информация:

Функции уровня 3

....

Количество IP-интерфейсов: 64

Количество IP на VLAN: 10

 

 

подскажите, а какие коммутаторы L3 Dlink смогут обеспечить:

Количество IP-интерфейсов: >2000

Количество IP на VLAN: >20

 

какие параметры для 6500?

[ayamb]

Боже, как давно это было... Помнит только мутной реки вода... :)

[D^2]

какие параметры для 6500?

в релизе 12.2SX для SUP2, SUP32, SUP720 рекомендуется не создавать больше 2,000 Layer 3 VLAN interfaces.

в предшествующих релизах так же советуют не создавать больше 2000 интерфейсов, но само ограничение на количество 4000.

 

вот, что касается "темной лошадки"

 

BigIron Router#sh def val
sys log buffers:50         mac age time:300 sec       telnet sessions:5

ip arp age:10 min          bootp relay max hops:4     ip ttl:64 hops
ip addr per intf:24

when multicast enabled :
igmp group memb.:140 sec   igmp query:60 sec

when ospf enabled :
ospf dead:40 sec           ospf hello:10 sec          ospf retrans:5 sec
ospf transit delay:1 sec

when bgp enabled :
bgp local pref.:100        bgp keep alive:60 sec      bgp hold:180 sec
bgp metric:10              bgp local as:1             bgp cluster id:0
bgp ext. distance:20       bgp int. distance:200      bgp local distance:200

System Parameters    Default    Maximum    Current
ip-arp               8000       64000      8000
ip-static-arp        2048       4096       2048
atalk-route          1024       3072       1024
atalk-zone-port      64         255        64
atalk-zone-sys       768        2048       768
multicast-route      64         8192       64
dvmrp-route          2048       128000     2048
multicast-flow       1024       8192       1024
dvmrp-mcache         512        4096       512
pim-mcache           1024       16384      1024
igmp-max-group-addr  20480      81920      20480
ip-cache             140000     400000     140000
ip-filter-port       512        4096       512
ip-filter-sys        1024       16384      1024
ipx-forward-filter   256        1024       256
ipx-rip-entry        3072       32768      3072
ipx-rip-filter       256        1024       256
ipx-sap-entry        6144       32768      6144
ipx-sap-filter       256        1024       256
l3-vlan              32         4095       2048
ip-qos-session       2048       64000      2048
l4-real-server       1024       2048       1024
l4-virtual-server    512        1024       512
l4-server-port       2048       4096       2048
mac                  8000       64000      8000
ip-route             140000     400000     140000
ip-static-route      512        4096       512
vlan                 32         4095       2048
spanning-tree        32         128        128
mac-filter-port      32         1024       32
mac-filter-sys       64         2048       64
ip-subnet-port       24         128        24
session-limit        262144     1000000    262144
view                 10         65535      10
virtual-interface    255        4095       255
vpls-mac             8192       524288     8192
vpls-session         8192       262144     8192
vpls-num             2048       16384      2048
msdp-sa-cache        4096       8192       4096
l2-acl-table-entries 64         256        64
BigIron Router#

 

подскажите, а какие коммутаторы L3 Dlink смогут обеспечить:

Количество IP-интерфейсов: >2000

Количество IP на VLAN: >20

ага... еще и посмотрите какие пораметры у этих Д-линков на max-ip-routes и ip-cashe ;-)

 

что касается флагманского решения "Модульный коммутатор D-Link DES-6500."

Размер таблицы маршрутизации     2K 
Размер таблицы коммутации L3     3K 
Количество IP-интерфейсов на коммутатор     256 
Количество IP-интерфейсов на VLAN     2 
Количество статических IP-маршрутов     256 
Количество статических ARP-записей     255

Edited December 27, 2006 by D^2