Nag Опубликовано 8 марта, 2009 · Жалоба В доме, Паш, в многоподъездном доме. 100 метров - это три-четыре подъезда по подвалу-чердаку. Развеж я против? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 8 марта, 2009 · Жалоба Все недостатки б/у 3526 легко устраняются перепайкой 4-х кондюков на новые и смазкой кулера, других аппаратных недостатков там просто нет.Зато у каталиста 2950Г нет и не намечается packet content ACL. А для фильтрации флуда и спуфинга на доступе это просто незаменимая вещь!!! от чего кроме защиты от arp spoofing (mitm attack) защищаетесь с помощью packet content filter?чем например хуже юзать на аксесе private vlan edge port(или vlan per user) и уже на агрегации dynamic arp inspection, ip source guard, dhcp snooping (ip unnumbered)? если юзать влан на юзера можно обходиться любыми самыми дешевыми свитчами с поддержкой dot1q + на агрегации "наговский" 3550 (хоть гигабит, хоть оптические сотки)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 8 марта, 2009 (изменено) · Жалоба Да Бога ради! Юзайте что угодно, кто ж против? Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов? Мы вот вполне обходимся 4-мя pptp-nas (серверы на freebsd) + cat-3750g в ядре, на агрегации простенькие и дешевые d-link 3100-24tg, а на доступе d-link 3526. Последние мы б/у берем по ценам $120-150. Бюджет можете сами просчитать и сопоставить с решением vlan per user полностью на базе цисок. На доступе режется arp-spoofing, netbios, multicast/broadcast, dhcp-spoofing и все ip кроме дозволенных. Изменено 8 марта, 2009 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 8 марта, 2009 · Жалоба Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов?Гхм. А при чем тут ядро, если все фичи, включая виланы и фильтры, кончаются на агрегации, на сиске 3550. ;-) В ядро пойдет уже вполне себе чистый трафик... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 8 марта, 2009 · Жалоба у него 3550 - ядро. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 8 марта, 2009 · Жалоба WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps. Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 9 марта, 2009 (изменено) · Жалоба WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps.Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :) у Вас китайский 2950T кроме того не понятно, что имеется в виду под "защита от флуда" и "убийцей сетей" да и 2950Т на агрегации - моветон Да Бога ради! Юзайте что угодно, кто ж против? Если бюджет позволяет, то почему бы и не сделать vlan per user. Только что у вас будет стоять в ядре при такой схеме при 10К абонентов? Мы вот вполне обходимся 4-мя pptp-nas (серверы на freebsd) + cat-3750g в ядре, на агрегации простенькие и дешевые d-link 3100-24tg, а на доступе d-link 3526. Последние мы б/у берем по ценам $120-150. Бюджет можете сами просчитать и сопоставить с решением vlan per user полностью на базе цисок.На доступе режется arp-spoofing, netbios, multicast/broadcast, dhcp-spoofing и все ip кроме дозволенных. во-первых для vlan-per-user не обязательно кол-во vlan = кол-во SVI во-вторых кол-во вланов не является определяющим фактором в выборе ядра. все юзеры получают l3 interface на агрегации. в-третьих кроме arp-spoofing (котрый лечится на агрегации) остальное точно так же режется и на 2950G Изменено 9 марта, 2009 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 9 марта, 2009 · Жалоба WS 2950 ложится "сразу" (c D-link не сравнить, но колбасит серьезно), держится долго WS 2960 и более старшие модели , раньше ложатся все D-link где не включена защита от флуда. При выключенной защите на доступе рабтают вполне штатно на агрегации 2960, 3560, и выше. Все D-link , 3627, 3100 колбасит если снизу флуд прет (транки не защищаем, возможно надо) ). Радует, что на D-link 3028 и 3526 это режется легко. Проверяли с помощью убийцы сетей с жестоким pps.Для наших математиков приятный момент, что в последнем билде 3028 понимает полный транк, не так как Catalyst, но тем не менее :) Чуть подробнее о методах убийства и о том какие фичи и в каком софте включали плз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 9 марта, 2009 · Жалоба у Вас китайский 2950T А у вас американский? ;) Сейчас уже почти все 2950T поменяли, но в связке с 3550 они проработали очень долго и отлично себя зарекомендовали. Тестировал наш программист, использовал он конструктор произвольных пакетов и утилиту для рассылки этих пакетов (NIX, если надо то я уточню у него и скину в PM) , конфигурация потока была разнообразной насколько я понял, но поведение сети было сэмулировано с отвалом и глюками . Как ни странно помогло банальное включение траффик контроль на D-link на доступе. У ребят уточню, что еще включено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 10 марта, 2009 · Жалоба Спасибо Как проведу тесты хорошо б свести где-то в доку... То что 3526 валится от arpflood я знаю ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 10 марта, 2009 · Жалоба То что 3526 валится от arpflood я знаю ) В правильных руках он не только не валится, но и другим не позволяет. В прошивке В52 даже введена доп.функция arp spoofing prevention, хотя и ранее это делалось ручками с помощью ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
russo Опубликовано 10 марта, 2009 · Жалоба Можно подумать, больше в стране никто GBIC не продает. ;-)знаю только одну контору(кроме вас) которая толкает дешёвые гбики.может есть ещё где. вам в какой стране контакты дать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 марта, 2009 · Жалоба Можно подумать, больше в стране никто GBIC не продает. ;-)знаю только одну контору(кроме вас) которая толкает дешёвые гбики.может есть ещё где. вам в какой стране контакты дать? в государстве Московия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 10 марта, 2009 · Жалоба То что 3526 валится от arpflood я знаю )В правильных руках он не только не валится, но и другим не позволяет. В прошивке В52 даже введена доп.функция arp spoofing prevention, хотя и ранее это делалось ручками с помощью ACL. та то я год назад делал... ссылку на форум длинка дать?щас повторные тесты с новыми прошивками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 10 марта, 2009 · Жалоба у Вас китайский 2950T А у вас американский? ;) Сейчас уже почти все 2950T поменяли, но в связке с 3550 они проработали очень долго и отлично себя зарекомендовали. Тестировал наш программист, использовал он конструктор произвольных пакетов и утилиту для рассылки этих пакетов (NIX, если надо то я уточню у него и скину в PM) , конфигурация потока была разнообразной насколько я понял, но поведение сети было сэмулировано с отвалом и глюками . Как ни странно помогло банальное включение траффик контроль на D-link на доступе. У ребят уточню, что еще включено. Если возможно мне бы тоже программулинку для тестов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vinc Опубликовано 11 марта, 2009 (изменено) · Жалоба До 1000 - это у совсем древних 3524. :-)У 2950G 256 своих виланов и 4к транзитных. Т.е. при включении транка на порту 2950 может пропустить 4к уже затегированых вланов? Не уверен. Из http://www.cisco.com/en/US/products/hw/swi...0080088899.html Metro network scalability is also enhanced by the Cisco Catalyst 2950 Series support of 4096 VLAN IDs and 256 active VLANs per switch. Изменено 11 марта, 2009 пользователем Vinc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 12 марта, 2009 · Жалоба аксесные свитчи обычно не используются как транзитные для вланов ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 марта, 2009 · Жалоба Есть любители кольца делать на доступе. Но даже в этом случае 256 active VLANs per switch вполне достаточно - это грубо говоря 10 свичей в кольце. А больше 10 делать сильно не рекомндуется, т.к. СТП ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 12 марта, 2009 · Жалоба кольца на доступе это диагноз ;o Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 марта, 2009 · Жалоба кольца на доступе это диагноз ;o Не все с этим согласны к сожалению))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OLEG Doneck Опубликовано 16 марта, 2009 · Жалоба спасибо за отзывы =))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 17 марта, 2009 (изменено) · Жалоба кольца на доступе это диагноз ;o Цепочка свичей на доступе - вот что такое диагноз. А гигабитное колечко на десяток-полтора свичей внутри которого работает RSTP - очень даже неплохое решение, по крайней мере меня оно несколько раз спасало когда один из свичей обесточивался. Изменено 17 марта, 2009 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 17 марта, 2009 · Жалоба в 3028 и аггрегаторах обещают сделать кольцо по RFC(аналог проприетарных колец в других свичах) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 17 марта, 2009 · Жалоба http://www.rfc-editor.org/ ???? Будут поэтапно обсуждать, кому же таки переключиться и куда? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 17 марта, 2009 (изменено) · Жалоба http://en.wikipedia.org/wiki/Ethernet_Auto...ction_Switching http://tools.ietf.org/html/rfc3619 по телефону было сказано буквально "EPSR" и "если реализация в "других" свичах совместима с RFC то будет работать" остаётся дождаться и посмотреть что наваяют китайцы. Изменено 17 марта, 2009 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...