DVM-Avgoor Опубликовано 12 июля, 2010 · Жалоба У Длинк-а мне больше всего нравится сервис. Технику ремонтируют довольно оперативно и за вменяемые деньги. А я просил мне 3028 отремонтировать до вменяемого состояния, не смогли :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 12 июля, 2010 · Жалоба Alexandr Ovcharenko Если даже порезать весь трафик на порту, маки будут попадать в FDB. Это даже длинк признал: http://forum.dlink.ru/viewtopic.php?t=119442&highlight= обещают исправить в 6-ом официальном релизе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 12 июля, 2010 · Жалоба Поэтому на вопрос "что лично я предлагаю взамен" - максимально однотипная конфигурация оборудования доступа, шаблонная конфигурация оборудования агрегации и реализация тарифных планов только в "ядре" и самое главное, минимальное вмешательство человеческого фактора при подключении нового абонента(ну без монтажника и агента продаж конечно не обойтись, но суть, думаю, поняли) Да говно вопрос, это все есть уже сейчас. Только для нищебродских домонетов дорого. Однако и в ядре нужно что-то конфигурировать. И в автоматическом режиме тоже. Пример про BGP более чем показательный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 12 июля, 2010 · Жалоба ... потестируйте ARP spoofing prevention на предмет подстановки маков клиентами, будете удивлены неимоверно ;)Этот механизм ведь защищает только от подмены пользователями мака шлюза, верно? А маки друг друга они могут запросто воровать. Как уже было сказано выше, если включить 0,5% мозговой деятельности и почитать внимательно мануалы (а на сайте и форуме длинка есть еще и огромная масса примеров), то въехать не сложно. У меня ушло 15 минут на освоение темы. Я просто в веб-интерфейсе посмотрел как сделаны правила под ARP Spoofing Prevention и вспомнил из вузовского курса состав заголовка пакета с анонсом ARP. После этого написал простые правила, разрешающие юзеру ARP-анонсы только его IP.Пример простого набора профилей ACL: 1. Разрешаем на порту arp-анонс только конкретного ip (можно сюда и МАС припаять если уж так надо). 2. Запрещаем любой L2-броадкаст. 3. Разрешаем на порту L3-пакеты с конкретным ip. 4. Запрещаем на порту любой L3. После этого отключаем пропуск приходящих от юзеров BPDU/DHCP/мультикастов и включаем LBD. Все - юзер в полной песочнице. Он может как угодно менять MAC/IP и слать в порт любую срань - всем остальным участникам сети от этих действий абсолютно фиолетово. У нас в каждом броадкаст-домене сети АБСОЛЮТНО СТАБИЛЬНО работают по 1000 адресов. Это всё прекрасно, я packet content acl тоже умею писать, Вы говорили про arp spoofing prevention. Я про него и спрашивал, как этот механизм вы используете в сети? Чтобы научиться писать acl? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 12 июля, 2010 · Жалоба Это всё прекрасно, я packet content acl тоже умею писать, Вы говорили про arp spoofing prevention. Я про него и спрашивал, как этот механизм вы используете в сети? Чтобы научиться писать acl?1. Задайте в свиче правила arp spoofing prevention. 2. В веб-интерфейсе зайдите в раздел ацл и посмотрите внимательно, что и как там нарисовалось в виде конкретных ацл на заданные Вами пары IP+MAC в arp spoofing prevention. 3. Нагуглите в википедиях описание протокола арп и состав их пакетов. 4. Сопоставьте увиденное в пункте 2 с пунктом 3. Все вышеописанное и позволило мне по аналогии с arp spoofing prevention сделать фильтрацию arp-анонсов от юзера по IP или MAC (или по связке IP+MAC). Единственное неудобство - на каждого юзера расходуется 2 правила (и 2 профиля). Ибо надо сначала разрешить конкретный арп-анонс, а потом запретить все остальное. Но если запрет будет на весь броадкаст (dest MAC=FF-FF-FF-FF-FF-FF), то убиваются несколько зайцев сразу - DHCP/PPPoE/ARP/всякая игровая срань/всякие супер-чаты (аля вайпрес)/etc. И после этого скажите мне - каким макаром (или может Макаром?) юзер сворует МАС соседа и будет счастлив? Максимум что он сможет сделать - нагадить соседям по свичу (раз уж его МАС таки флапнет FDB) - а это всего 23 абонента. Дальше этого свича это ведь никак не расползется. Юзер-спуфер же, получив в ответ на подставленный соседский МАС тишину, вынужден будет искать другое решение :) . И вообще, возвращаясь к названию топика, ИМХО, длинки с их PCF на доступе все-таки гораздо более выгодные свичи по сравнению с конкурентами при условии, что схема доступа - не влан_пер_кастомер (только пожалуйста не надо меня тут злорадно ловить на слове - устройте лучше опрос каков реальный процент сетей использует полноценный влан_пер_кастомер). Реальные недостатки у длинков несомненно есть, но в ряде случаев другие свичи этой ценовой же категории с аналогичными недостатками явно уступают им по функционалу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 13 июля, 2010 · Жалоба Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все.... Это и у длинка работает - 1 но. Если сеть плоская - начинаются проблемы с хэшем тут можно вешатся. Хотя тотже заксель никто на изучения маков не пытал хз какой там чипсет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 (изменено) · Жалоба Плоская - всмысле большие широковещательные домены? (типа VLAN на район?) Есть у меня такой райончик, хаотично развивающийся - вопросов никаких не возникает. Каковы признаки проявления (конкретные негативные симптомы) проблемы с хешем на длинках? (представители зухеля заявляют, что в их свичах проблем с хешем не существует (мне кажется - там ввобще такого понятия нет - свич оперирует в мозгах непосредственно маками (это чисто мое предположение , потому что нигде ни в каких командах консольных я не встречал про хэши ни слова.... : ))) Изменено 13 июля, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 13 июля, 2010 · Жалоба и не встретите. С хешем работает непосредственно кристалл - хеш короче мак адреса, меньше памяти требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба Так как оборачивается проблема хешей длинка у хомячков? Рвется связь? Надолго? Как лечится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 13 июля, 2010 · Жалоба Так как оборачивается проблема хешей длинка у хомячков? Рвется связь? агаНадолго? Как лечится?cl flood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 13 июля, 2010 (изменено) · Жалоба Так как оборачивается проблема хешей длинка у хомячков? Рвется связь? Надолго? Как лечится? Хомячку льется чужой траффик. Если у хомячка стоит wifi точка (или другое не шибко производительное оборудование), а ему сливается 100М торрент траффика от другого хомячка то его точка доступа клеит ласты. Если нет мультикаста (iptv), то построение сети по принцыпу "каждому барану по влан-у" спасет от проблем с коллизиями хеша. Изменено 13 июля, 2010 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 13 июля, 2010 · Жалоба Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82? 1. Задайте в свиче правила arp spoofing prevention. 2. В веб-интерфейсе зайдите в раздел ацл и посмотрите внимательно, что и как там нарисовалось в виде конкретных ацл на заданные Вами пары IP+MAC в arp spoofing prevention. 3. Нагуглите в википедиях описание протокола арп и состав их пакетов. 4. Сопоставьте увиденное в пункте 2 с пунктом 3. Все вышеописанное и позволило мне по аналогии с arp spoofing prevention сделать фильтрацию arp-анонсов от юзера по IP или MAC (или по связке IP+MAC). Единственное неудобство - на каждого юзера расходуется 2 правила (и 2 профиля). Ибо надо сначала разрешить конкретный арп-анонс, а потом запретить все остальное. Но если запрет будет на весь броадкаст (dest MAC=FF-FF-FF-FF-FF-FF), то убиваются несколько зайцев сразу - DHCP/PPPoE/ARP/всякая игровая срань/всякие супер-чаты (аля вайпрес)/etc. И после этого скажите мне - каким макаром (или может Макаром?) юзер сворует МАС соседа и будет счастлив? Максимум что он сможет сделать - нагадить соседям по свичу (раз уж его МАС таки флапнет FDB) - а это всего 23 абонента. Дальше этого свича это ведь никак не расползется. Юзер-спуфер же, получив в ответ на подставленный соседский МАС тишину, вынужден будет искать другое решение :) . И вообще, возвращаясь к названию топика, ИМХО, длинки с их PCF на доступе все-таки гораздо более выгодные свичи по сравнению с конкурентами при условии, что схема доступа - не влан_пер_кастомер (только пожалуйста не надо меня тут злорадно ловить на слове - устройте лучше опрос каков реальный процент сетей использует полноценный влан_пер_кастомер). Реальные недостатки у длинков несомненно есть, но в ряде случаев другие свичи этой ценовой же категории с аналогичными недостатками явно уступают им по функционалу. Согласен с вами, этот функционал прекрасно будет работать, только я думал вы именно с помощью встроенного в длинк механизма arp spoofing prevention это делали. В случае в acl всё ясно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 13 июля, 2010 (изменено) · Жалоба А пресловутый IMPB? Он от проблемы с хешами вообще не выигрывает, блочит. Я подозреваю, что и DHCP Relay может неправильно отрабатывать, особенно в "плоской" сети. Проблема с хешем вообще зло, ибо "вероятность возникновения коллизии всего около 5%" очень смущает. Конфликтуют всего два мака-влана, и они могут быть совершенно нечаянно на одном свитче даже при полностью правильном vlan-per-user. Как вам нравится: "вероятность предоставления услуги близкая к 95%"? Не особо вкусный пиар для провайдера. Изменено 13 июля, 2010 пользователем DVM-Avgoor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 13 июля, 2010 · Жалоба Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82? Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает. Или тарифы поменяет всем : )))) В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами. _________ Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы). Короче - при учете портов никогда не возникало проблем. ___ Юзер звонит в диспетчерскую- "хочу ваш Инет" и свой дом говорит и время , когда будет дома. В базе заявку оформили, распечатали и встопку - там монтажники между собой распределили и вперед. Приехали, кабелть провели, всунулу в прописанный порт. Оформили договор. Хомяк выбрал тариф. Позвонили оператору - тот в биллинге сформировал учетку, выбрал тариф, прописал порт, сказал монтажнику логин и пароль. Те договор подписали, проверили - инет работает. До свидания. А, еще забыл - квитанцию оформили - сколько налички на счет сразу кинуть - тоже сумму оператору сообщили и номер квитанции. Ну, вообщем - не сложнее, чем Маки собирать. Так уж 2,5 года работаем - никаких проблем. А юзеру нет гимора звонить в саппорт и жаловаться, что друг принес ноут, или прсото комп сменили на новый и вдруг Инет не работает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 13 июля, 2010 (изменено) · Жалоба А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82 Вычесть из зарплаты. После этого у монтажника желание "поперетыкать" сильно убавляется . 2 DVM-Avgoor: обьясните подробнее как при схеме vlan-per-user может вылезти проблема с коллизяими хеш-а ? Изменено 13 июля, 2010 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?А какая разница - какой процент длинков. Даже если в мире всего одна сеть из зухелей - ну нет никакой проблемы с маками. Совсем. Даже когда VLAN на район в 400 хомяков....Видимо, СОВСЕМ другой алгоритм. Иначе я должне был заметить траблы по жалобам хомяков, не так ли ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 13 июля, 2010 · Жалоба Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком. И расчет хэша возложен на чип. Производитель комутатора к нему никак руку приложить не может. А дальше песни и пляски святого Витта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 13 июля, 2010 · Жалоба Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ? Если с АТИ ничего внезапно не случилось, то у них всё должно быть хорошо. На тесты они своё железо запросто дают, это не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком. И расчет хэша возложен на чип. Производитель комутатора к нему никак руку приложить не может. А дальше песни и пляски святого Витта. завтра раскручу Zyxel и гляну маркировку чипа - если там человеческим языком написано.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 13 июля, 2010 · Жалоба Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает. Или тарифы поменяет всем : )))) В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами. _________ Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы). Короче - при учете портов никогда не возникало проблем. А какая у вас абоназа? Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком.А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 13 июля, 2010 · Жалоба А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm % прокурв на доступе пожалуйста - помоему опрос в разделе показал. И как тот китайский еврейЯ сильно не уверен что это не перекрашеный марвел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 13 июля, 2010 · Жалоба блин, там хитрожопые заклепки на радиаторах. Не хочу курочить. Задал вопрос в письме интегратору. Буду ждать ответ. Но косвенно сужу так: функционал сильно отличается у зухеля от других свичей, например их система Classifier и Policy - аналог ACL - к нему еще привыкнуть надо : ))))), а эти фишки "выполнены" аппаратно. Либо всетаки есть еще другие производители чипов, кроме тех двух, либо зихел разрабатывает свой "дизайн чипов", а потом заказывает их "штамповку". Этому свидетельствует тот, факт, что на семинаре в Минске по зухелю (три дня) - люди задавали вопрос - когда у зихеля будет стек работать в коммутаторах 4728 (24 оптических гигабитных порта, 2шт 10-гигабит, 2 медных 12G - для стека, но пока юзается как обычный порт). И был вопрос, когда они сделают более мощные свичи для ядра. Ответы были такие, что я слов не запомнил, но смысл, что они уже давно над этим работают, существует демоверсии, но есть определенные проблемы с блокировкой матрицы и они постепено все эти проблемы решают (их инженеры).... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 13 июля, 2010 · Жалоба А есть кто заксели с аледтелесинами потестить ?Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384На работе есть AT-8000S, могу потестить если кому интересно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...