Jump to content
Калькуляторы

подскажите по 3028 дурят меня или нет.

Худший вариант, когда влан на дом и у одного такого абонента с запомненным маком, хеш совпал со шлюзом...

на порт-аплинк Lock Address Mode Permanent ?

 

Share this post


Link to post
Share on other sites

Получается что проблему можно вычислить только опытным путем. Т.е. мы должны знать:

1) Что юзер А онлайн на порту.

2) Что коммутатор не видит МАК юзера А.

 

По каким либо другим параметрам можно вычислить? По параметрам поддающимся полу- или автоматическому анализу? Ведь до той поры пока юзер А сидит тихо и мирно мы никогда и не узнаем о проблеме.

 

Share this post


Link to post
Share on other sites

MAC-notifucation можно использовать: порт поднялся, мак появился - значит порядок, в противном случае косяк.

Share this post


Link to post
Share on other sites

У многих компы включены в дежурном режиме, т.е. на коммутаторе порт в Up, но фактически активности на нем нет. Поэтому это не показатель, более того даст кучу ложных срабатываний.

Share this post


Link to post
Share on other sites
Получается что проблему можно вычислить только опытным путем. Т.е. мы должны знать:

 

Свяжитесь с длинком. Пришлют инструкции, как получить списек проблемных маков.

Share this post


Link to post
Share on other sites

как альтернатива DES3208 может быть LinkSys SPS224G4, хорошая железка, но ACL слабый

кажется мне, этот линксис SNMP не умеет - смешно, правда?

Вранье. Все он умеет.

на какой версии софта?

а можно ссылку на какую-то доку?

А на него кроме 1.0.2 больше доступных версий и нету...

Ещё на них port protected (аналог traffic_segmentation) на несколько аплинков нельзя сделать, rate-limit и storm-control невозможно использовать одновременно на один и тот же порт...

Вобщем тоже недостатков хватает...

Share this post


Link to post
Share on other sites
проблема действительно есть. в чипсете используется "слабая хеш функция". хеш вычисляется на основе пары МАС+влан.

потому может возникать с любым МАС и ВЛАНом.

http://nag.ru/news/15587/

у меня есть документ описывающий хеш функцию, выкладывать не буду(не хочется портить отношения с людьми)

учитываются все биты (12бит VLAN + 48 бит MAC), но вот дальше функция превращает их в 13 бит, и колизионность получается приличная.

 

vlan на пользователя тоже лечит, потому что хеш всегда одназначен.

Как хочется взглянуть на эту функцию :) Может личной почтой алгоритм или .o (gcc чтоб понимал) файлом (ia32 + amd64) поделитесь? У меня этих коммутаторов сотнями можно считать... :( Мне бы инструмент для прогноза и поиска этих колизий.

 

/foo

Share this post


Link to post
Share on other sites

У меня в сети десятка два 3028, проблем с необучением МАК-ов и последующим флудом не обнаруживалось. Может быть по той причине что 3028 стоят в перемешку с 3526. В любом случае описаная проблема крайне неприятная и хотелось бы знать имея МАК юзера и номер его VLAN-а вылезет ли это в последствиии боком чтоб сразу сменить номер VLAN-а.

Share this post


Link to post
Share on other sites

Нам скинули описании алогоритма вычисления hash на 3028, однако повторить ее, нам не удалось. Результаты разные, но хотя алогоримт одинаковый. Мистика.

 

Share this post


Link to post
Share on other sites

shicoy, аналогично. Где-то там ошибка. Либо в исходных данных, либо в примере.

 

Share this post


Link to post
Share on other sites

А как дела с этим обстоят у 3016 и 3026 ?

это другая серия, там нормально все

Share this post


Link to post
Share on other sites

мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает

Share this post


Link to post
Share on other sites

это другая серия, там нормально все

Причем не только другая, а более младшая и бюджетная, в отличие от 3028. Умом китайцев не понять.

Share this post


Link to post
Share on other sites

мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает

там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

Share this post


Link to post
Share on other sites
там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

Это не всегда возможно. Очень часто нужно фильтровать какуюто каку (ответы от серверов dhcp, pppoe, ...) на юзеровских портах, но не на аплинках.

Share this post


Link to post
Share on other sites

256 правил не хватает? омг, что это у вас такое тогда?

Share this post


Link to post
Share on other sites

Народ, хватит ныть!

Антикризисная акция для тех, кто попал с кучей 3028 - скупаем по $50 за штуку! :)

Помнится, Павел Нагибин говорил, что рынка б/у длинков нету - будем создавать. :)

Share this post


Link to post
Share on other sites
Народ, хватит ныть!

Антикризисная акция для тех, кто попал с кучей 3028 - скупаем по $50 за штуку! :)

Помнится, Павел Нагибин говорил, что рынка б/у длинков нету - будем создавать. :)

а кто ноет?

p.s. покупаю по 55 ;)

Share this post


Link to post
Share on other sites

БУ рынок был, есть и будет. 3526 не залеживаются в гаражах!

Share this post


Link to post
Share on other sites
мне не понравилось в 3028 то, что очень мало правил ACL, конфиг, после которого в 3526 ещё место остаётся, в 3028 даже не влезает
там надо ацль по возможности на _все_ порты включать, тогда будет юзаться всего одно правило, иначе по числу портов

т.е. мои конструкции типа

config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-26 deny

можно переделать, чтобы не создавал 26 отдельных правил?

и ещё вспомнил, в 3526 дхцп релей срабатывает раньше чем ацл, а в 3028 после, поэтому тоже мне не понравились эти свитчи

Share this post


Link to post
Share on other sites
покупаю по 55
60! :)

 

config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-26 deny
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port all deny

 

там 28 портов, поэтому правило 1-26 так и должно себя вести.

Edited by LionSprings

Share this post


Link to post
Share on other sites
...и ещё вспомнил, в 3526 дхцп релей срабатывает раньше чем ацл, а в 3028 после, поэтому тоже мне не понравились эти свитчи

в последних прошивках это обещали исправить.

Share this post


Link to post
Share on other sites

у меня 3028 не хочет дружить в кольце на 3526+ес4612, поэтому тоже не понравились))

Share this post


Link to post
Share on other sites
И так еще много пунктов по которым телесин форева, д-линк гавно. Я вот не понимаю или меня дурят, или может сами не правы, или не знаю что, судя по этому форуму народ их ставит в больших количествах и не жалуется.

Опишите народу цену месячную цену технаря. Для Мухосранска д-линк форевер, поскольку мозги технаря соизмеримы с корвьими на базаре.

Для мкад или Киева с точностью до наоборот :)

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this