[Nag]

В доме, Паш, в многоподъездном доме. 100 метров - это три-четыре подъезда по подвалу-чердаку.

Развеж я против? ;-)

[D^2]

Все недостатки б/у 3526 легко устраняются перепайкой 4-х кондюков на новые и смазкой кулера, других аппаратных недостатков там просто нет.

Зато у каталиста 2950Г нет и не намечается packet content ACL. А для фильтрации флуда и спуфинга на доступе это просто незаменимая вещь!!!

от чего кроме защиты от arp spoofing (mitm attack) защищаетесь с помощью packet content filter?

чем например хуже юзать на аксесе private vlan edge port(или vlan per user) и уже на агрегации dynamic arp inspection, ip source guard, dhcp snooping (ip unnumbered)?

 

если юзать влан на юзера можно обходиться любыми самыми дешевыми свитчами с поддержкой dot1q + на агрегации "наговский" 3550 (хоть гигабит, хоть оптические сотки)?

[Alexandr Ovcharenko]

Да Бога ради! Юзайте что угодно, кто ж против? Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов? Мы вот вполне обходимся 4-мя pptp-nas (серверы на freebsd) + cat-3750g в ядре, на агрегации простенькие и дешевые d-link 3100-24tg, а на доступе d-link 3526. Последние мы б/у берем по ценам $120-150. Бюджет можете сами просчитать и сопоставить с решением vlan per user полностью на базе цисок.

На доступе режется arp-spoofing, netbios, multicast/broadcast, dhcp-spoofing и все ip кроме дозволенных.

Изменено 8 марта, 2009 пользователем Alexandr Ovcharenko

[Nag]

Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов?

Гхм. А при чем тут ядро, если все фичи, включая виланы и фильтры, кончаются на агрегации, на сиске 3550. ;-)

В ядро пойдет уже вполне себе чистый трафик...

[Дятел]

у него 3550 - ядро.

[grama]

WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps.

Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :)

[D^2]

WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps.

Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :)

у Вас китайский 2950T

кроме того не понятно, что имеется в виду под "защита от флуда" и "убийцей сетей"

да и 2950Т на агрегации - моветон

 

Да Бога ради! Юзайте что угодно, кто ж против? Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов? Мы вот вполне обходимся 4-мя pptp-nas (серверы на freebsd) + cat-3750g в ядре, на агрегации простенькие и дешевые d-link 3100-24tg, а на доступе d-link 3526. Последние мы б/у берем по ценам $120-150. Бюджет можете сами просчитать и сопоставить с решением vlan per user полностью на базе цисок.

На доступе режется arp-spoofing, netbios, multicast/broadcast, dhcp-spoofing и все ip кроме дозволенных.

во-первых для vlan-per-user не обязательно кол-во vlan = кол-во SVI

во-вторых кол-во вланов не является определяющим фактором в выборе ядра. все юзеры получают l3 interface на агрегации.

в-третьих кроме arp-spoofing (котрый лечится на агрегации) остальное точно так же режется и на 2950G

Изменено 9 марта, 2009 пользователем D^2

[sirmax]

WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps.

Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :)

Чуть подробнее о методах убийства и о том какие фичи и в каком софте включали плз

[grama]

у Вас китайский 2950T

А у вас американский? ;) Сейчас уже почти все 2950T поменяли, но в связке с 3550 они проработали очень долго и отлично себя зарекомендовали.

 

 

Тестировал наш программист, использовал он конструктор произвольных пакетов и утилиту для рассылки этих пакетов (NIX, если надо то я уточню у него и скину в PM) , конфигурация потока была разнообразной насколько я понял, но поведение сети было сэмулировано с отвалом и глюками . Как ни странно помогло банальное включение траффик контроль на D-link на доступе. У ребят уточню, что еще включено.

[sirmax]

Спасибо

Как проведу тесты хорошо б свести где-то в доку...

 

То что 3526 валится от arpflood я знаю )

[Alexandr Ovcharenko]

То что 3526 валится от arpflood я знаю )

В правильных руках он не только не валится, но и другим не позволяет. В прошивке В52 даже введена доп.функция arp spoofing prevention, хотя и ранее это делалось ручками с помощью ACL.

[russo]

Можно подумать, больше в стране никто GBIC не продает. ;-)

знаю только одну контору(кроме вас) которая толкает дешёвые гбики.

может есть ещё где.

вам в какой стране контакты дать?

[ingress]

Можно подумать, больше в стране никто GBIC не продает. ;-)

знаю только одну контору(кроме вас) которая толкает дешёвые гбики.

может есть ещё где.

вам в какой стране контакты дать?

в государстве Московия.

[sirmax]

То что 3526 валится от arpflood я знаю )

В правильных руках он не только не валится, но и другим не позволяет. В прошивке В52 даже введена доп.функция arp spoofing prevention, хотя и ранее это делалось ручками с помощью ACL.

та то я год назад делал... ссылку на форум длинка дать?

щас повторные тесты с новыми прошивками...

[shicoy]

у Вас китайский 2950T

А у вас американский? ;) Сейчас уже почти все 2950T поменяли, но в связке с 3550 они проработали очень долго и отлично себя зарекомендовали.

 

 

Тестировал наш программист, использовал он конструктор произвольных пакетов и утилиту для рассылки этих пакетов (NIX, если надо то я уточню у него и скину в PM) , конфигурация потока была разнообразной насколько я понял, но поведение сети было сэмулировано с отвалом и глюками . Как ни странно помогло банальное включение траффик контроль на D-link на доступе. У ребят уточню, что еще включено.

Если возможно мне бы тоже программулинку для тестов.

[Vinc]

До 1000 - это у совсем древних 3524. :-)

У 2950G 256 своих виланов и 4к транзитных.

Т.е. при включении транка на порту 2950 может пропустить 4к уже затегированых вланов?

Не уверен.

 

 

Из

http://www.cisco.com/en/US/products/hw/swi...0080088899.html

Metro network scalability is also enhanced by the Cisco Catalyst 2950 Series support of 4096 VLAN IDs and 256 active VLANs per switch.

Изменено 11 марта, 2009 пользователем Vinc

[D^2]

аксесные свитчи обычно не используются как транзитные для вланов ;-)

[Stak]

Есть любители кольца делать на доступе. Но даже в этом случае 256 active VLANs per switch вполне достаточно - это грубо говоря 10 свичей в кольце. А больше 10 делать сильно не рекомндуется, т.к. СТП ...

[D^2]

кольца на доступе это диагноз ;o

[Stak]

кольца на доступе это диагноз ;o

Не все с этим согласны к сожалению)))

[OLEG Doneck]

спасибо за отзывы =)))

[Kaban]

кольца на доступе это диагноз ;o

Цепочка свичей на доступе - вот что такое диагноз. А гигабитное колечко на десяток-полтора свичей внутри которого работает RSTP - очень даже неплохое решение, по крайней мере меня оно несколько раз спасало когда один из свичей обесточивался.

Изменено 17 марта, 2009 пользователем Kaban

[ingress]

в 3028 и аггрегаторах обещают сделать кольцо по RFC(аналог проприетарных колец в других свичах)

 

 

[vIv]

http://www.rfc-editor.org/ ???? Будут поэтапно обсуждать, кому же таки переключиться и куда? =)

[ingress]

http://en.wikipedia.org/wiki/Ethernet_Auto...ction_Switching

http://tools.ietf.org/html/rfc3619

 

по телефону было сказано буквально "EPSR" и "если реализация в "других" свичах совместима с RFC то будет работать"

 

остаётся дождаться и посмотреть что наваяют китайцы.

Изменено 17 марта, 2009 пользователем ingress