Jump to content

Надежный L3 на квартал

Yellow
 Share

Recommended Posts

Yellow

Yellow

Posted
Posted

Посоветуйте надежные L3 свитчи для квартальных узлов. 24-48 соток и минимум 2 гигабита. Каждая сотка приходит по оптике с отдельного дома, на домах неуправляемые свитчи и PPPoE, гигабиты в магистраль. Нужен L3, arp-proxy, acl-ки, vlan для PPPoE, и до 15 vlan'ов для юриков. Глубина свитча до 400мм.

 

Сейчас используем D-link 3828 и Cisco 3560. Проблема в том, что они приблизительно одинаково кладутся arp-флудом, плюс иногда их вырубает странным флудом от абонентов при котором ходят какие-то мистические пакеты не засекаемые счетчиками на свитче или tcpdump'ом.

 

Что скажите на счет Cisco 3750, Nortel'а и AT?

Nailer

Nailer

Posted
Posted
Посоветуйте надежные L3 свитчи для квартальных узлов. 24-48 соток и минимум 2 гигабита. Каждая сотка приходит по оптике с отдельного дома, на домах неуправляемые свитчи и PPPoE, гигабиты в магистраль. Нужен L3, arp-proxy, acl-ки, vlan для PPPoE, и до 15 vlan'ов для юриков. Глубина свитча до 400мм.

 

Сейчас используем D-link 3828 и Cisco 3560. Проблема в том, что они приблизительно одинаково кладутся arp-флудом, плюс иногда их вырубает странным флудом от абонентов при котором ходят какие-то мистические пакеты не засекаемые счетчиками на свитче или tcpdump'ом.

 

Что скажите на счет Cisco 3750, Nortel'а и AT?

Готовить надо уметь любые свитчи, что циску, что нортель.

3750 такой же, как и 3560.

 

Используйте control-plane policing, я уже кому-то писал об этом в этой конфе.

smsm

smsm

Posted
Posted

стоят 3550, стоят 3750, после небольшой настройки положить их, хм, тяжко.

вдобавок, имхо, не они должны реагировать на атаки, а свичи ближе к пользователю.

Yellow

Yellow

Posted
  • Author
Posted
Используйте control-plane policing, я уже кому-то писал об этом в этой конфе.
Спасибо, то что нужно. Даже не подозревал, что подобная функциональность существует.

 

стоят 3550, стоят 3750, после небольшой настройки положить их, хм, тяжко.

вдобавок, имхо, не они должны реагировать на атаки, а свичи ближе к пользователю.

Существуют свитчи второго уровня, которые умеют бороться с флудом?
Nailer

Nailer

Posted
Posted (edited)

Используйте control-plane policing, я уже кому-то писал об этом в этой конфе.

Спасибо, то что нужно. Даже не подозревал, что подобная функциональность существует.

У каталистов очень много полезной функциональности.

 

стоят 3550, стоят 3750, после небольшой настройки положить их, хм, тяжко.

вдобавок, имхо, не они должны реагировать на атаки, а свичи ближе к пользователю.

Существуют свитчи второго уровня, которые умеют бороться с флудом?

 

Да, даже дебилинки это умеют.

Погуглите по storm control, dhcp snooping

Edited by Nailer
Yellow

Yellow

Posted
  • Author
Posted

Существуют свитчи второго уровня, которые умеют бороться с флудом?

Да, даже дебилинки это умеют.

Погуглите по storm control, dhcp snooping

Ну, это понятно :), только от арп флуда не спасает.
Nailer

Nailer

Posted
Posted

Существуют свитчи второго уровня, которые умеют бороться с флудом?

Да, даже дебилинки это умеют.

Погуглите по storm control, dhcp snooping

Ну, это понятно :), только от арп флуда не спасает.

Broadcast storm control может помочь, правда и одного процента арпов на сотке (мегабита) хватит, чтобы положить control-plane любых свитчей. Но зато больше шансов, что остальные клиенты в сегменте хоть до чего-то достучаться.

ayamb

ayamb

Posted
Posted (edited)
Broadcast storm control может помочь...
Может помочь тот Storm-control, который "заказываешь". :) (AT-x900): Create QoS entities and configure storm protection against bursts of 10kbps, monitor traffic 10 times a second, and disable the port for the VLAN on which the storm was detected
cre qos policy=1
cre qos tr=1 storms=ena stormr=10kbps stormw=100 storma=vlandisable
cre qos flowgroup=1
cre classifier=1 mactype=l2bcast prot=0806 ethformat=ethII-untag
cre classifier=2 mactype=l2bcast prot=0806 ethformat=ethII-tag
add qos flowgroup=1 classifier=1,2
add qos trafficclass=1 flowgroup=1
add qos policy=1 trafficclass=1
cre qos portgroup=1 port=all
set qos portgroup=1 policy=1

P.S.

...Нужен L3, arp-proxy, acl-ки, vlan для PPPoE, и до 15 vlan'ов для юриков. Глубина свитча до 400мм.
L3, arp-proxy(local), ACL(IM-16,PCL-128,PCE-1024,PCLR-16,PCLP-2), PPPoEAC(512), VLAN(4095)... Height/Width/Depth - 44.5mm/440mm/440mm (:/). Edited by ayamb
Alba

Alba

Posted
Posted
Посоветуйте надежные L3 свитчи для квартальных узлов. 24-48 соток и минимум 2 гигабита. Каждая сотка приходит по оптике с отдельного дома, на домах неуправляемые свитчи и PPPoE, гигабиты в магистраль. Нужен L3, arp-proxy, acl-ки, vlan для PPPoE, и до 15 vlan'ов для юриков. Глубина свитча до 400мм.

 

Сейчас используем D-link 3828 и Cisco 3560. Проблема в том, что они приблизительно одинаково кладутся arp-флудом, плюс иногда их вырубает странным флудом от абонентов при котором ходят какие-то мистические пакеты не засекаемые счетчиками на свитче или tcpdump'ом.

 

Что скажите на счет Cisco 3750, Nortel'а и AT?

AT-8948 - хорошая железка :)

но, насчёт 400мм не уверен :)

Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Посоветуйте надежные L3 свитчи для квартальных узлов. 24-48 соток и минимум 2 гигабита. Каждая сотка приходит по оптике с отдельного дома, на домах неуправляемые свитчи и PPPoE, гигабиты в магистраль. Нужен L3, arp-proxy, acl-ки, vlan для PPPoE, и до 15 vlan'ов для юриков. Глубина свитча до 400мм.

 

Сейчас используем D-link 3828 и Cisco 3560. Проблема в том, что они приблизительно одинаково кладутся arp-флудом, плюс иногда их вырубает странным флудом от абонентов при котором ходят какие-то мистические пакеты не засекаемые счетчиками на свитче или tcpdump'ом.

 

Что скажите на счет Cisco 3750, Nortel'а и AT?

А в чем конкретно проблема с DES-3828? Напишите мне по почте пожалуйста - может и не нужно менять устройство :-)
ingress

ingress

Posted
Posted (edited)

http://www.authsecu.com/attaque-protection...ur-ethernet.php

 

статья на французком, как защитить каталисты от арпфлуда

читать особо не надо

в конце способы написаны, по картинкам понятно

 

способы можно спроецировать и на блинк и на телесин.

 

3550 допустим не умеет контрол-плейн полисинг, а в 3560 ограничены возможности

самая лучшая реализация защиты от всевозможных аттак л2 в 6500 в "аппарате" :)

Edited by ingress
ingress

ingress

Posted
Posted

не вижу смысла в этой технологии

допустим схема порт - дом, 3828

с порта пошёл арпшторм, и блинк отбрасывает ВСЕ(!) arp пакеты со всех портов, а не с конкретного, таблица переполняется, конективити теряется, причём узнаёт он об этом по загрузке цпу, ну и чё..флудануть его юникастом он начнёт отбрасывать арп? хороший дос! :)

 

задача не защитить свич, а сохранить конективити(не дать переполнить таблицу МАК адресов в общем случае). пусть у него хоть 200 процентов загрузка, но маршрутизировать(коммутировать) он обязан(и не как хаб ;).

 

а работа ф-ий которые реализованы чисто на процессоре типа igmp stp

протоколы динамической маршрутизации - это уже второй вопрос.

Thunderstrike

Thunderstrike

Posted
Posted (edited)

Ну IGMP там не только на процессре, а STP у всех на процессоре. А по поводу функции тоже говорят будут дорабатывать. И L3 там сейчас надёжный.

Edited by Thunderstrike

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.