shicoy Опубликовано 17 июня, 2010 · Жалоба эх вот бы еще тест расширить и по разным vlanам маки распределять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2010 · Жалоба уже есть в этом топике скрипт для распределения по вланам и уже пробовали. кому-то интересно разбить по 10-20 вланам, кому-то по 100-200, так что кому что нужно, тот то и протестит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 17 июня, 2010 · Жалоба Генерация рандомных меток dot1q и маков: for n in xrange(7000) : srcMAC = "00"+str(RandMAC())[2:] dstMAC = "00:*:*:*:*:*" vtag = random.randint(1,4094) print srcMAC + "\t"+ str(vtag) + "\t" + str(n) pkt = Ether(src=srcMAC, dst=dstMAC)/Dot1Q(vlan=vtag)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18) sendp(pkt, verbose=0) Все длинки что я тестил дают одинаковые результаты что с виланами что без. Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 17 июня, 2010 · Жалоба Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан. Мои тесты говорят, что даже при полностью отключенном learning-е трафик из одного VLAN-а ни при каких условиях не может утечь в другой. Так что это не страшно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 17 июня, 2010 · Жалоба Потестировал Zyxel MES-3528 только что. Вполне достойный результат. Из двух тысяч маков изучено 100%, из 7000 изучил 6889, что значительно выше по показателям всяких 3200 и 3028. Таблица коммутации у него 16К. Из 15 тысяч получилось всего 12552. Это ставит под угрозу безопасность клиентов, изолированных в отдельный вилан.Мои тесты говорят, что даже при полностью отключенном learning-е трафик из одного VLAN-а ни при каких условиях не может утечь в другой. Так что это не страшно. Да, скорее всего вы правы, хотя я и не тестировал этого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2010 (изменено) · Жалоба Кто-нибудь знает, по каким образом используются хеши при самом свитчинге? В зависимости от этого, можно говорить о возможности перетекания трафика из одного влана в другой. Изменено 17 июня, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 17 июня, 2010 (изменено) · Жалоба Кто-нибудь знает, по каким образом используются хеши при самом свитчинге? В зависимости от этого, можно говорить о возможности перетекания трафика из одного влана в другой. Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша. Поле VLAN_ID участвует в расчете хеша только для того, чтобы обеспечить корректный learning одинаковых MAC-ов в разных в VLAN-ах. Изменено 17 июня, 2010 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2010 · Жалоба >Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша Вопрос не о самом отображении mac,vlan в hash, а о том используются ли хеши в процессе свитчинга и если используются то как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 17 июня, 2010 · Жалоба >Думаю, что перетекание трафика невозможно вне зависимости от функции, которая используется для хеша Вопрос не о самом отображении mac,vlan в hash, а о том используются ли хеши в процессе свитчинга и если используются то как? Я всегда считал, что хэши используются в процессе свитчинга и поэтому пакет с меткой вилана и неизученным маком флуданет либо во все виланы, либо только в свой. Неужели всем лень проверить? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2010 · Жалоба >Неужели всем лень проверить? :) Проверить не лень, но нужная серьёзная подготовка к такой проверке, а именно нужно найти маки и вланы, удовлетворяющие следующие условию hash=f(mac1,vlan1)=f(mac2,vlan2), для чего надо проводить серию экспериментов, находя такую коллизию методом деления отрезка пополам(делить кол-во вдуваемых маков). Да ещё и скрипт первоначальный придётся исправлять :) (чтобы маки не генерились, а читались из файлика) >флуданет либо во все виланы ну такого точно быть не может Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 июня, 2010 (изменено) · Жалоба >хэши используются в процессе свитчинга Это слишком общая фраза. Вопрос в том реализовано разрешение коллизий и, например, если методом цепочек, то сколько значений может соответствовать одному хешу и не создавать коллизию. Тут можно много гадать и фантазировать, а от того как на самом деле реализовано зависит во что это безобразие может вылится Аргумент против того, что будет "слипание" вланов такой: поскольку мы видем таблицу соответствия мак-влан-порт, то значит хранится соответствие хеш-(мак,влан). Если при свитчинге используются хеши, то после совпадения хеша можно проверить номер влана, стоимость такой операции константа, поэтому не видно причин этого не делать. А ещё проще безусловано слать в тот же влан из которого фрейм пришёл. Изменено 17 июня, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 17 июня, 2010 · Жалоба Кстати! А какой 3200 вы тестируете? 3200-28 или 3200-26? Давайте точно модели указывать! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 18 июня, 2010 · Жалоба >может кто-нибудь узнает хэш-функцию все-таки? Это коммерческая тайна dlink'а Нет это тайна броадкома. Хотя если подоставать инженеров то открывают... Дабы не перекомпиливать каждый раз для экзотической платформы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tsvetkov Опубликовано 18 июня, 2010 · Жалоба Генерация рандомных меток dot1q и маков: ИХМА - надо на dst системе запускать tcpdump -eni > file.txt потом через grep grep '> 00:*:*:*:*:*' | cut -f 2 - d ' ' | sort | uniq | wc -l смотреть реальное кол-во маков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jugernault Опубликовано 18 июня, 2010 · Жалоба Если честно, то я тоже начал задумываться над тем, что в самом тесте что то не то.После завтра попробую протестировать каталиста, а завтра поеду на ДЛинковый семинар и там попробую прояснить ситуацию. 1. Похоже что с тестом все нормально - только что провел эксперимент с Cisco WS-C2960-24TT-L: border-sw#sh mac address-table count Mac Entries for Vlan 1: --------------------------- Dynamic Address Count : 1 Static Address Count : 0 Total Mac Addresses : 1 Total Mac Address Space Available: 8093 затем dstMAC = "00:1b:0c:a2:8c:41" for n in xrange(8000) : srcMAC = "00"+str(RandMAC())[2:] pkt = Ether(src=srcMAC, dst=dstMAC)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18) srcMAC + " " + str(n) sendp(pkt, verbose=0) в результате: border-sw.#sh mac address-table count Mac Entries for Vlan 1: --------------------------- Dynamic Address Count : 8001 Static Address Count : 0 Total Mac Addresses : 8001 Total Mac Address Space Available: 87 затем dstMAC = "00:1b:0c:a2:8c:41" for n in xrange(87) : srcMAC = "00"+str(RandMAC())[2:] pkt = Ether(src=srcMAC, dst=dstMAC)/IP(src="127.0.0.1",dst="10.10.10.10")/Padding(load="X"*18) srcMAC + " " + str(n) sendp(pkt, verbose=0) в результате: border-sw.sns.net.ua#sh mac address-table count Mac Entries for Vlan 1: --------------------------- Dynamic Address Count : 8088 Static Address Count : 0 Total Mac Addresses : 8088 Total Mac Address Space Available: 0 Вывод: Не понятно почему, но емкость таблицы коммутации уменьшилась с 8093 до 8088, однако свич "выучил" все 8088 масков, поданных в него. Т.е. похоже что свич, как впрочем и тест - правильный. 2. Вчера на семинаре ДЛинка мною был задан вопрос по 32-й серии. Была обрисована методика тестирования и т.д.. В конечном итоге был получен ответ примерно следующего содержания: "Возможно что в результате синтетического тестирования свич показывает те результаты, которые вы наблюдали. Однако в реальных "боевых" условиях все нормально, т.е. компания не имеет информации о том, что бы у кого до возникали проблемы." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 18 июня, 2010 · Жалоба >ИХМА - надо на dst системе запускать tcpdump -eni > file.txt >потом через grep grep '> 00:*:*:*:*:*' | cut -f 2 - d ' ' | sort | uniq | wc -l >смотреть реальное кол-во маков Давно tcpdump появился на дешёвых L2-свитчах? Да всё в порядке с тестом. Я запускал tcpdump на "src"-системе, показывает, что уходят все кадры >Однако в реальных "боевых" условиях все нормально, т.е. компания не имеет информации о том, что бы у кого до возникали проблемы." Хорошо, значит надо делать не рандом, а подряд штук 100-200, тогда это будет эмуляция кучи устройств из одной партии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 18 июня, 2010 · Жалоба А не кто не пробовал просто подряд 8000 маков ? Есть маза, что оно быстрее сломается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
k.mihal Опубликовано 18 июня, 2010 · Жалоба "Возможно что в результате синтетического тестирования свич показывает те результаты, которые вы наблюдали. Однако в реальных "боевых" условиях все нормально"получается длинк признался что свичи не могут правельно комутировать случайные маки. для коректной работы свичам нужны только строго определенные маки которые удовлетворяют некому алгоритму которы они никому не говорят ;) с виланами получается довольно интересно, маки не изучаются но за пределы вилана трафик не выходит, значит если в вилане только 2 порта то конструкция рабочая ;) а вот если больше то на остальные порты трафик тоже вылетает. предлагаю длинку писать спецификацию примерно так: размер таблицы комутации - 8000 не случайных маков количество портов в вилане - желательно не больше 2х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 18 июня, 2010 · Жалоба у кого есть возможность потестить zelax zes2026c? точно знаю, что DCN сделан на марвеле. если все ок - могу контейнерные поставки устроить =) они кстати мне обещали, что у них packet content acl запланирован в разработку. кроме того интересна как у Cisco 2950 3com 4250, 4400 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 18 июня, 2010 · Жалоба Странное обсуждение, вопрос формирования хэша всплывал еще лет 5 назад, если порыться можно даже найти алгоритмы, на сколько я помню в хэше точно участвует VLAN и часть MAC адреса. Выводы простые, пересечения по VLAN'ам в принципе быть не может, а вот отправка трафика на "чужие" порты в том же VLAN'е особенно на уровне агрегации это сплошь и рядом. P.S. Сейчас конечно не вспомню где, но была даже таблица какую именно часть MAC использует какая матрица коммутации... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 18 июня, 2010 · Жалоба cisco WS-C2950-24 (RC32300) processor (revision M0) #sh mac-address-table count Mac Entries for Vlan 310: --------------------------- Dynamic Address Count : 8186 Static Address Count : 0 Total Mac Addresses : 8186 Total Mac Address Space Available: 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 18 июня, 2010 (изменено) · Жалоба >точно знаю, что DCN сделан на марвеле. если все ок - могу контейнерные поставки устроить =) edge-core тоже на марвеле и там наблюдается проблема с неизучением маков >Странное обсуждение, вопрос формирования хэша всплывал еще лет 5 назад Ну так если 5 лет прошло, новые модели, что-то могло изменится и в размере хеша и даже используемые алгоритмы Изменено 23 июня, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArDamant Опубликовано 18 июня, 2010 (изменено) · Жалоба Результат тестирования Allied Telesin AT x900-24XS Кол-во уникальных МАС: 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 11000 12000 13000 14000 15000 16000 Кол-во потерянный МАС: ___0 ___0 ___0 ___0 ___0 ___0 ___2 ___2 ___7 ___19 ___62 __134 __228 __475 __766 _1188 соответствующий график: Изменено 18 июня, 2010 пользователем ArDamant Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 18 июня, 2010 (изменено) · Жалоба ArDamant По-моему, очень неплохо! Только вот это вроде бы свитч аггрегации? Изменено 18 июня, 2010 пользователем mschedrin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 18 июня, 2010 · Жалоба Функцию RandMAC() кто нибудь проверял. Исключает ли она MAC'и зарезевированых диапазанов типа broadcast, мультикаст и.т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...