[lf]

Худший вариант, когда влан на дом и у одного такого абонента с запомненным маком, хеш совпал со шлюзом...

на порт-аплинк Lock Address Mode Permanent ?

 

[shicoy]

Получается что проблему можно вычислить только опытным путем. Т.е. мы должны знать:

1) Что юзер А онлайн на порту.

2) Что коммутатор не видит МАК юзера А.

 

По каким либо другим параметрам можно вычислить? По параметрам поддающимся полу- или автоматическому анализу? Ведь до той поры пока юзер А сидит тихо и мирно мы никогда и не узнаем о проблеме.

 

[terrible]

MAC-notifucation можно использовать: порт поднялся, мак появился - значит порядок, в противном случае косяк.

[shicoy]

У многих компы включены в дежурном режиме, т.е. на коммутаторе порт в Up, но фактически активности на нем нет. Поэтому это не показатель, более того даст кучу ложных срабатываний.

[st_re]

Получается что проблему можно вычислить только опытным путем. Т.е. мы должны знать:

 

Свяжитесь с длинком. Пришлют инструкции, как получить списек проблемных маков.

[Falcor]

как альтернатива DES3208 может быть LinkSys SPS224G4, хорошая железка, но ACL слабый

кажется мне, этот линксис SNMP не умеет - смешно, правда?

Вранье. Все он умеет.

на какой версии софта?

а можно ссылку на какую-то доку?

А на него кроме 1.0.2 больше доступных версий и нету...

Ещё на них port protected (аналог traffic_segmentation) на несколько аплинков нельзя сделать, rate-limit и storm-control невозможно использовать одновременно на один и тот же порт...

Вобщем тоже недостатков хватает...

[foo]

проблема действительно есть. в чипсете используется "слабая хеш функция". хеш вычисляется на основе пары МАС+влан.

потому может возникать с любым МАС и ВЛАНом.

http://nag.ru/news/15587/

у меня есть документ описывающий хеш функцию, выкладывать не буду(не хочется портить отношения с людьми)

учитываются все биты (12бит VLAN + 48 бит MAC), но вот дальше функция превращает их в 13 бит, и колизионность получается приличная.

 

vlan на пользователя тоже лечит, потому что хеш всегда одназначен.

Как хочется взглянуть на эту функцию :) Может личной почтой алгоритм или .o (gcc чтоб понимал) файлом (ia32 + amd64) поделитесь? У меня этих коммутаторов сотнями можно считать... :( Мне бы инструмент для прогноза и поиска этих колизий.

 

/foo

[Kaban]

У меня в сети десятка два 3028, проблем с необучением МАК-ов и последующим флудом не обнаруживалось. Может быть по той причине что 3028 стоят в перемешку с 3526. В любом случае описаная проблема крайне неприятная и хотелось бы знать имея МАК юзера и номер его VLAN-а вылезет ли это в последствиии боком чтоб сразу сменить номер VLAN-а.

[shicoy]

Нам скинули описании алогоритма вычисления hash на 3028, однако повторить ее, нам не удалось. Результаты разные, но хотя алогоримт одинаковый. Мистика.

 

[Умник]

shicoy, аналогично. Где-то там ошибка. Либо в исходных данных, либо в примере.

 

[LuckySB]

А как дела с этим обстоят у 3016 и 3026 ?

[cmhungry]

А как дела с этим обстоят у 3016 и 3026 ?

это другая серия, там нормально все

[BETEPAH]

мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает

[Умник]

это другая серия, там нормально все

Причем не только другая, а более младшая и бюджетная, в отличие от 3028. Умом китайцев не понять.

[Max P]

мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает

там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

[Kaban]

там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

Это не всегда возможно. Очень часто нужно фильтровать какуюто каку (ответы от серверов dhcp, pppoe, ...) на юзеровских портах, но не на аплинках.

[shicoy]

256 правил не хватает? омг, что это у вас такое тогда?

[Alexandr Ovcharenko]

Народ, хватит ныть!

Антикризисная акция для тех, кто попал с кучей 3028 - скупаем по $50 за штуку! :)

Помнится, Павел Нагибин говорил, что рынка б/у длинков нету - будем создавать. :)

[ingress]

Народ, хватит ныть!

Антикризисная акция для тех, кто попал с кучей 3028 - скупаем по $50 за штуку! :)

Помнится, Павел Нагибин говорил, что рынка б/у длинков нету - будем создавать. :)

а кто ноет?

p.s. покупаю по 55 ;)

[Nic]

БУ рынок был, есть и будет. 3526 не залеживаются в гаражах!

[BETEPAH]

мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает

там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

т.е. мои конструкции типа

config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-26 deny

можно переделать, чтобы не создавал 26 отдельных правил?

и ещё вспомнил, в 3526 дхцп релей срабатывает раньше чем ацл, а в 3028 после, поэтому тоже мне не понравились эти свитчи

[LionSprings]

покупаю по 55

60! :)

 

config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-26 deny

config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port all deny

 

там 28 портов, поэтому правило 1-26 так и должно себя вести.

Изменено 24 декабря, 2009 пользователем LionSprings

[Kaban]

...и ещё вспомнил, в 3526 дхцп релей срабатывает раньше чем ацл, а в 3028 после, поэтому тоже мне не понравились эти свитчи

в последних прошивках это обещали исправить.

[Max P]

у меня 3028 не хочет дружить в кольце на 3526+ес4612, поэтому тоже не понравились))

[aoz1]

И так еще много пунктов по которым телесин форева, д-линк гавно. Я вот не понимаю или меня дурят, или может сами не правы, или не знаю что, судя по этому форуму народ их ставит в больших количествах и не жалуется.

Опишите народу цену месячную цену технаря. Для Мухосранска д-линк форевер, поскольку мозги технаря соизмеримы с корвьими на базаре.

Для мкад или Киева с точностью до наоборот :)