Jump to content

security features in c3750

kuru
 Share

Recommended Posts

kuru

kuru

Posted
Posted

У 3750 есть интересные фичи: IP source guard / dynamic ARP inspection.

Нужно включить dhcp snooping / options 82, выдавать адреса по dhcp by circut id/port id, включить ip guard - оно само пропишет ACL, трафик с левых ip/mac не пройдет.

 

Cool!

 

Кто пользует?

Еще 3650 поддерживает... и похоже все ;(

Nailer

Nailer

Posted
Posted

В энтерпрайзах часто юзаем, работает.

 

Бывает сложно внедрять, так как зачастую обнаруживается, что клиенты настроены криво (например, адреса прописаны руками).

kuru

kuru

Posted
  • Author
Posted

Надо будет скоро access менять.

3750-24TS-S больно уж дорого, 2960 достаточно просты, ME-3400-24TS выглядит повкуснее.

 

Чем оно отличается от 2960?

Вроде все тоже самое + другие вкусности.

 

Какую скидку можно выжать от GPL?

Больше 30% бывает ? :)

kuru

kuru

Posted
  • Author
Posted
kuru видимо пользуют все, у кого есть с3550 и выше на access стоит... :)

Как это называется у 3550? В общем описании не вижу поддержки. Только ручками.

cmhungry

cmhungry

Posted
Posted
Надо будет скоро access менять.

3750-24TS-S больно уж дорого, 2960 достаточно просты, ME-3400-24TS выглядит повкуснее.

 

Чем оно отличается от 2960?

Вроде все тоже самое + другие вкусности.

 

Какую скидку можно выжать от GPL?

Больше 30% бывает ? :)

ME3400 - это третий уровень даже. Скидка от гпл - можно и 40, если постараться. Но МЕ3400 на третьем уровне плотно грузить не рекомендуется.
kuru

kuru

Posted
  • Author
Posted
В энтерпрайзах часто юзаем, работает.

Какие фичи еще испольуете?

 

Root Guard?

Как боретесь с ума сошедшими хабами или флудящими клиентскими портами?

 

Или пока в одно место не клюнет, никто превентивно не борется? :)

Nailer

Nailer

Posted
Posted

В энтерпрайзах часто юзаем, работает.

Какие фичи еще испольуете?

 

Root Guard?

Как боретесь с ума сошедшими хабами или флудящими клиентскими портами?

 

Или пока в одно место не клюнет, никто превентивно не борется? :)

Стандартный набор на акцессном порту - storm control + port security (ограничение на количество маков) + рутгуард, иногда DHCP Snooping (для прикрытия от левых DHCP-серверов и флуда DHCP-запросами). Если остальная инфораструктура готова, то еще 802.1x и/или Source Guard и Dynamic ARP inspection. Также полезно использовать правильно разработанную политику QoS, но это уже отдельная песня.

 

Хабов как правило в энтрепрайзовых сетках, которые пользуются услугами итеграторов, не бывает. А от флудящих клиенстких портов вполне надежно прикрывает связка storm control + port security + DHCP Snooping + IP Source Guard + Dynamic ARP Inspection.

ingress

ingress

Posted
Posted
Стандартный набор на акцессном порту - storm control + port security (ограничение на количество маков) + рутгуард

ну тогда на аксес можно смело ставить Edge-core EC3526, а на аггр 3550/3560.

kuru

kuru

Posted
  • Author
Posted
Стандартный набор на акцессном порту - storm control + port security (ограничение на количество маков) + рутгуард, иногда DHCP Snooping (для прикрытия от левых DHCP-серверов и флуда DHCP-запросами). Если остальная инфораструктура готова, то еще 802.1x и/или Source Guard и Dynamic ARP inspection. Также полезно использовать правильно разработанную политику QoS, но это уже отдельная песня.

Какие значения рекомендуете для storm-control unicast/broadcast/aging time?

Для обычных офисных юзеров и активно работающих?

 

Ставите ли какой коммерческий софт для ловли трапов и нотификации админов?

 

По поводу QoS тоже интересно. С voip, специфичными приложениями - понятно. Кто-нибудь вообще делает приоритезацию какого-либо трафика? Если да, то чего? Для чего может потребоваться это в энтерпрайзе или в ДС, где везде линки 100Mbit/Gb?

Nailer

Nailer

Posted
Posted

Стандартный набор на акцессном порту - storm control + port security (ограничение на количество маков) + рутгуард, иногда DHCP Snooping (для прикрытия от левых DHCP-серверов и флуда DHCP-запросами). Если остальная инфораструктура готова, то еще 802.1x и/или Source Guard и Dynamic ARP inspection. Также полезно использовать правильно разработанную политику QoS, но это уже отдельная песня.

Какие значения рекомендуете для storm-control unicast/broadcast/aging time?

Для обычных офисных юзеров и активно работающих?

 

Ставите ли какой коммерческий софт для ловли трапов и нотификации админов?

 

По поводу QoS тоже интересно. С voip, специфичными приложениями - понятно. Кто-нибудь вообще делает приоритезацию какого-либо трафика? Если да, то чего? Для чего может потребоваться это в энтерпрайзе или в ДС, где везде линки 100Mbit/Gb?

Значения для storm-control навскидку не помню, почему-то давно не было проектов с ним. Для port-security на акцессных портах для энтерпрайза рекомендовано ставить 3 мак-адреса (телефон + пользователь + еще один про запас).

 

Коммерческий софт - в зависимости от пожеланий заказчика. Как правило, если что-то и используется то либо Cisco Works LMS, либо MARS ловит трапы, либо какие-то софты типа Tivoli.

 

С QoS-ом интереснее. Делать магистрали из расчета неблокируемости не хватит никаких денег, даже у энтерпрайзов :-) Расчет ширины магистралей (из SRND) делается из расчета 1/20 от суммарной пропускной способности портов пользователей. Для того, чтобы не возникало каши с дропами в случае наступления-таки перегрузки QoS настраивается таким образом, чтобы гарантировать каждому пользователю определенную полосу пропускания, остальной траффик проходит в случае отсутствия перегрузки. Всякие воипы и управление сетью, естественно, идет выше. Фактически такая модель QoS-а, помимо отсутствия булькания голоса и прочих риал-таймовых приложений, обеспечивает устойчивость и работоспособность сети в случае перегрузок.

kuru

kuru

Posted
  • Author
Posted (edited)
[С QoS-ом интереснее. Делать магистрали из расчета неблокируемости не хватит никаких денег, даже у энтерпрайзов :-) Расчет ширины магистралей (из SRND) делается из расчета 1/20 от суммарной пропускной способности портов пользователей. Для того, чтобы не возникало каши с дропами в случае наступления-таки перегрузки QoS настраивается таким образом, чтобы гарантировать каждому пользователю определенную полосу пропускания, остальной траффик проходит в случае отсутствия перегрузки.
Если акссес 100Mbit, согласен. На гигабитном, скорее всего 1/5 или даже больше (пока :)

 

Можно пример такого полиси, который каждому аксесному порту гарантирует 5% общей полосы аплинка? Если congestion нету, соотвественно максимум.

Это LLQ должно быть?

Edited by kuru
Nailer

Nailer

Posted
Posted

[С QoS-ом интереснее. Делать магистрали из расчета неблокируемости не хватит никаких денег, даже у энтерпрайзов :-) Расчет ширины магистралей (из SRND) делается из расчета 1/20 от суммарной пропускной способности портов пользователей. Для того, чтобы не возникало каши с дропами в случае наступления-таки перегрузки QoS настраивается таким образом, чтобы гарантировать каждому пользователю определенную полосу пропускания, остальной траффик проходит в случае отсутствия перегрузки.

Если акссес 100Mbit, согласен. На гигабитном, скорее всего 1/5 или даже больше (пока :)

 

Можно пример такого полиси, который каждому аксесному порту гарантирует 5% общей полосы аплинка? Если congestion нету, соотвественно максимум.

Это LLQ должно быть?

На гигабитном аксессе скорее всего это даже меньше, чем 1/20.

 

Я поищу доки, в которых это было хорошо расписано, если найду - кину.

  • 4 months later...
Мартен

Мартен

Posted
Posted

...МЕ3400 на третьем уровне плотно грузить не рекомендуется.

Почему? А как же 6,6Mpps? Это ж типа wire-speed, или я что-то не так понимаю?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.