[shicoy]

эх вот бы еще тест расширить и по разным vlanам маки распределять.

[s.lobanov]

уже есть в этом топике скрипт для распределения по вланам и уже пробовали. кому-то интересно разбить по 10-20 вланам, кому-то по 100-200, так что кому что нужно, тот то и протестит

[mschedrin]

Генерация рандомных меток dot1q и маков:

for n in xrange(7000) :
  srcMAC = "00"+str(RandMAC())[2:]
  dstMAC = "00:*:*:*:*:*"
  vtag = random.randint(1,4094)
  print srcMAC + "\t"+ str(vtag) + "\t" + str(n)
  pkt = Ether(src=srcMAC, dst=dstMAC)/Dot1Q(vlan=vtag)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18)
  sendp(pkt, verbose=0)

Все длинки что я тестил дают одинаковые результаты что с виланами что без. Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан.

[Умник]

Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан.

Мои тесты говорят, что даже при полностью отключенном learning-е трафик из одного VLAN-а ни при каких условиях не может утечь в другой. Так что это не страшно.

[mschedrin]

Потестировал Zyxel MES-3528 только что. Вполне достойный результат. Из двух тысяч маков изучено 100%, из 7000 изучил 6889, что значительно выше по показателям всяких 3200 и 3028. Таблица коммутации у него 16К. Из 15 тысяч получилось всего 12552.

 

Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан.

Мои тесты говорят, что даже при полностью отключенном learning-е трафик из одного VLAN-а ни при каких условиях не может утечь в другой. Так что это не страшно.

Да, скорее всего вы правы, хотя я и не тестировал этого.

[s.lobanov]

Кто-нибудь знает, по каким образом используются хеши при самом свитчинге? В зависимости от этого, можно говорить о возможности перетекания трафика из одного влана в другой.

Изменено 17 июня, 2010 пользователем s.lobanov

[Умник]

Кто-нибудь знает, по каким образом используются хеши при самом свитчинге? В зависимости от этого, можно говорить о возможности перетекания трафика из одного влана в другой.

Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша. Поле VLAN_ID участвует в расчете хеша только для того, чтобы обеспечить корректный learning одинаковых MAC-ов в разных в VLAN-ах.

Изменено 17 июня, 2010 пользователем Умник

[s.lobanov]

>Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша

 

Вопрос не о самом отображении mac,vlan в hash, а о том используются ли хеши в процессе свитчинга и если используются то как?

[mschedrin]

>Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша

 

Вопрос не о самом отображении mac,vlan в hash, а о том используются ли хеши в процессе свитчинга и если используются то как?

Я всегда считал, что хэши используются в процессе свитчинга и поэтому пакет с меткой вилана и неизученным маком флуданет либо во все виланы, либо только в свой. Неужели всем лень проверить? :)

[s.lobanov]

>Неужели всем лень проверить? :)

 

Проверить не лень, но нужная серьёзная подготовка к такой проверке, а именно нужно найти маки и вланы, удовлетворяющие следующие условию hash=f(mac1,vlan1)=f(mac2,vlan2), для чего надо проводить серию экспериментов, находя такую коллизию методом деления отрезка пополам(делить кол-во вдуваемых маков). Да ещё и скрипт первоначальный придётся исправлять :) (чтобы маки не генерились, а читались из файлика)

 

>флуданет либо во все виланы

 

ну такого точно быть не может

[s.lobanov]

>хэши используются в процессе свитчинга

 

Это слишком общая фраза. Вопрос в том реализовано разрешение коллизий и, например, если методом цепочек, то сколько значений может соответствовать одному хешу и не создавать коллизию.

Тут можно много гадать и фантазировать, а от того как на самом деле реализовано зависит во что это безобразие может вылится

 

Аргумент против того, что будет "слипание" вланов такой: поскольку мы видем таблицу соответствия мак-влан-порт, то значит хранится соответствие хеш-(мак,влан). Если при свитчинге используются хеши, то после совпадения хеша можно проверить номер влана, стоимость такой операции константа, поэтому не видно причин этого не делать. А ещё проще безусловано слать в тот же влан из которого фрейм пришёл.

Изменено 17 июня, 2010 пользователем s.lobanov

[sdy_moscow]

Кстати!

А какой 3200 вы тестируете?

3200-28 или 3200-26?

Давайте точно модели указывать!

[Mikler]

>может кто-нибудь узнает хэш-функцию все-таки?

 

Это коммерческая тайна dlink'а

Нет это тайна броадкома. Хотя если подоставать инженеров то открывают... Дабы не перекомпиливать каждый раз для экзотической платформы :)

[Tsvetkov]

Генерация рандомных меток dot1q и маков:

ИХМА - надо на dst системе запускать tcpdump -eni > file.txt

потом через grep grep '> 00:*:*:*:*:*' | cut -f 2 - d ' ' | sort | uniq | wc -l

смотреть реальное кол-во маков

[Jugernault]

Если честно, то я тоже начал задумываться над тем, что в самом тесте что то не то.

После завтра попробую протестировать каталиста, а завтра поеду на ДЛинковый семинар и там попробую прояснить ситуацию.

1. Похоже что с тестом все нормально - только что провел эксперимент с Cisco WS-C2960-24TT-L:

 

border-sw#sh mac address-table count

Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count  : 1
Static  Address Count  : 0
Total Mac Addresses    : 1

Total Mac Address Space Available: 8093

затем

dstMAC = "00:1b:0c:a2:8c:41"
for n in xrange(8000) :
  srcMAC = "00"+str(RandMAC())[2:]
  pkt = Ether(src=srcMAC, dst=dstMAC)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18)
  srcMAC + " " + str(n)
  sendp(pkt, verbose=0)

в результате:

border-sw.#sh mac address-table count

Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count  : 8001
Static  Address Count  : 0
Total Mac Addresses    : 8001

Total Mac Address Space Available: 87

затем

dstMAC = "00:1b:0c:a2:8c:41"
for n in xrange(87) :
  srcMAC = "00"+str(RandMAC())[2:]
  pkt = Ether(src=srcMAC, dst=dstMAC)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18)
  srcMAC + " " + str(n)
  sendp(pkt, verbose=0)

в результате:

border-sw.sns.net.ua#sh mac address-table count

Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count  : 8088
Static  Address Count  : 0
Total Mac Addresses    : 8088

Total Mac Address Space Available: 0

 

Вывод: Не понятно почему, но емкость таблицы коммутации уменьшилась с 8093 до 8088, однако свич "выучил" все 8088 масков, поданных в него. Т.е. похоже что свич, как впрочем и тест - правильный.

 

2. Вчера на семинаре ДЛинка мною был задан вопрос по 32-й серии. Была обрисована методика тестирования и т.д.. В конечном итоге был получен ответ примерно следующего содержания: "Возможно что в результате синтетического тестирования свич показывает те результаты, которые вы наблюдали. Однако в реальных "боевых" условиях все нормально, т.е. компания не имеет информации о том, что бы у кого до возникали проблемы."

 

 

[s.lobanov]

>ИХМА - надо на dst системе запускать tcpdump -eni > file.txt

>потом через grep grep '> 00:*:*:*:*:*' | cut -f 2 - d ' ' | sort | uniq | wc -l

>смотреть реальное кол-во маков

 

Давно tcpdump появился на дешёвых L2-свитчах? Да всё в порядке с тестом. Я запускал tcpdump на "src"-системе, показывает, что уходят все кадры

 

>Однако в реальных "боевых" условиях все нормально, т.е. компания не имеет информации о том, что бы у кого до возникали проблемы."

 

Хорошо, значит надо делать не рандом, а подряд штук 100-200, тогда это будет эмуляция кучи устройств из одной партии

[st_re]

А не кто не пробовал просто подряд 8000 маков ? Есть маза, что оно быстрее сломается...

[k.mihal]

"Возможно что в результате синтетического тестирования свич показывает те результаты, которые вы наблюдали. Однако в реальных "боевых" условиях все нормально"

получается длинк признался что свичи не могут правельно комутировать случайные маки. для коректной работы свичам нужны только строго определенные маки которые удовлетворяют некому алгоритму которы они никому не говорят ;)

 

с виланами получается довольно интересно, маки не изучаются но за пределы вилана трафик не выходит, значит если в вилане только 2 порта то конструкция рабочая ;) а вот если больше то на остальные порты трафик тоже вылетает.

 

предлагаю длинку писать спецификацию примерно так:

размер таблицы комутации - 8000 не случайных маков

количество портов в вилане - желательно не больше 2х

 

[D^2]

у кого есть возможность потестить

zelax zes2026c?

 

точно знаю, что DCN сделан на марвеле. если все ок - могу контейнерные поставки устроить =)

они кстати мне обещали, что у них packet content acl запланирован в разработку.

 

кроме того интересна как у

Cisco 2950

3com 4250, 4400

?

[olebedev]

Странное обсуждение, вопрос формирования хэша всплывал еще лет 5 назад, если порыться можно даже найти алгоритмы, на сколько я помню в хэше точно участвует VLAN и часть MAC адреса. Выводы простые, пересечения по VLAN'ам в принципе быть не может, а вот отправка трафика на "чужие" порты в том же VLAN'е особенно на уровне агрегации это сплошь и рядом.

 

P.S. Сейчас конечно не вспомню где, но была даже таблица какую именно часть MAC использует какая матрица коммутации...

[fozz]

cisco WS-C2950-24 (RC32300) processor (revision M0)

#sh mac-address-table count 

Mac Entries for Vlan 310:
---------------------------
Dynamic Address Count  : 8186
Static  Address Count  : 0
Total Mac Addresses    : 8186

Total Mac Address Space Available: 0

[s.lobanov]

>точно знаю, что DCN сделан на марвеле. если все ок - могу контейнерные поставки устроить =)

 

edge-core тоже на марвеле и там наблюдается проблема с неизучением маков

 

>Странное обсуждение, вопрос формирования хэша всплывал еще лет 5 назад

 

Ну так если 5 лет прошло, новые модели, что-то могло изменится и в размере хеша и даже используемые алгоритмы

Изменено 23 июня, 2010 пользователем s.lobanov

[ArDamant]

Результат тестирования Allied Telesin AT x900-24XS

 

 

Кол-во уникальных МАС: 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 11000 12000 13000 14000 15000 16000

Кол-во потерянный МАС: ___0 ___0 ___0 ___0 ___0 ___0 ___2 ___2 ___7 ___19 ___62 __134 __228 __475 __766 _1188

 

 

соответствующий график:

Изменено 18 июня, 2010 пользователем ArDamant

[mschedrin]

ArDamant

По-моему, очень неплохо! Только вот это вроде бы свитч аггрегации?

Изменено 18 июня, 2010 пользователем mschedrin

[nickD]

Функцию RandMAC() кто нибудь проверял.

Исключает ли она MAC'и зарезевированых диапазанов типа broadcast, мультикаст и.т.д.