DVM-Avgoor Опубликовано 13 июля, 2010 · Жалоба 2 DVM-Avgoor: обьясните подробнее как при схеме vlan-per-user может вылезти проблема с коллизяими хеш-а ? Точно так же как и при "плоской" сети, коллизия происходит только между 2-мя и более мак-вланами (для удобства так назову). Нет никаких, ровным счетом, условий, чтобы в таком свитче не случилось коллизии между соседними мак-вланами при схеме разного влана на каждый порт клиента (да и что таить, между юзером и шлюзом!), ибо хэш может запросто совпасть. Я полагаю, что говоря о "практически нулевой вероятности такого события при vlan-per-user", длинк сильно лукавит. Да, чистая вероятность меньше, а то же маков с магистрального порта прилетит 3к и привет. Но еще раз повторюсь - коллизирует не юзер-мак-влан с какой-то там магистралью, а конкретные пары, а значит вероятность не нулевая! Как предоставлять услугу если не уверен в ее постоянстве? А может уверен но не повезет? :) Я хочу чтобы было как при 3526, никаких там вероятностей, меняй раз в год кондеры и вентиляторы да живи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 13 июля, 2010 · Жалоба Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?Я про это. Кроме того, по ссылке ASIC-и достаточно тяжёлых серий. Это платиновый "доступ" получится. Я сильно не уверен что это не перекрашеный марвел.Берём фичелист и сравниваем :-)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 13 июля, 2010 · Жалоба 2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 14 июля, 2010 · Жалоба 2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент. См. выше, часть функционала не может работать при коллизии, например биндинг заблочит порт. А так как PCF в 3028 рахитные, то чем чистить трафик? Если чистить не на этом свитче, то зачем он вообще нужен? Цифра-китай-сети модели 3950-26 тоже умеет вланы, и купить их можно 2.5 за один длинк. Плюс статистика по видимости маков на портах хорошее подспорье в решении проблем, а тут и доверия к ней уже нет. Многим, я думаю, вообще все-равно что может произойти какая-то там коллизия, поменял влан клиенту да и бог с ним. Но это путь дропонетов а не телекомов, ей богу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба на Zyxel MES-3528 чип Realtek сцылка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 14 июля, 2010 · Жалоба Это проц, а работа с сетью лежит на асиках чипсете. А есть кто заксели с аледтелесинами потестить ?Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384На работе есть AT-8000S, могу потестить если кому интересно. Если не сложно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 14 июля, 2010 · Жалоба на Zyxel MES-3528 чип Realtek сцылка There are 16K entries in the 4-way hash L2 table for MAC address learning and searching. Да, звучит многообещающе :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба Это проц, а работа с сетью лежит на асиках чипсете. А есть кто заксели с аледтелесинами потестить ?Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384На работе есть AT-8000S, могу потестить если кому интересно. Если не сложно Я тест Zyxel сделаю по этой методе, но в контексте D_link у вас другая терминология, давайте уточним? : fdb - Если это просто MAC Table, тогда понятно. fdb aging time = 1000000 - это типа MAC Address Learning Aging Time ? И цифра в секундах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба И в догонку - все же не представляю я , чтобы на свиче доступа было больше сотни МАC/VLAN Я еще раз повторюсь - у меня схема - VLAN на свич доступа. В цепочку не больше двух свичей. Терминируются VLAN на L3 свиче агрегации. Даже с учетом мультикаста и MVR - проблем с хешами не возникает. (может ее вообще в Zyxel нет - тест сделаю, как только время найду) Я так понимаю - проблема более остро возникает у тех, у кого герлянды (длинные цепочки домовых свичей) или у кого L2 кольца доступа ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 14 июля, 2010 · Жалоба Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает. Или тарифы поменяет всем : )))) В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами. Прямо утопия какая-то :) А может у вас сеть просто маленькая, поэтому ей так просто управлять? Сколько, например, монтажников у вас работатет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба Это проц, а работа с сетью лежит на асиках чипсете. А есть кто заксели с аледтелесинами потестить ?Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384На работе есть AT-8000S, могу потестить если кому интересно. Если не сложно Кстати, тест этого зухеля уже делали сцылка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 (изменено) · Жалоба Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает. Или тарифы поменяет всем : )))) В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами. Прямо утопия какая-то :) А может у вас сеть просто маленькая, поэтому ей так просто управлять? Сколько, например, монтажников у вас работатет? Ну, да, сеть маленькая чуть более 6000 хомячков с постоянным ростом. Но, поверьте - никогда не было проблем монтажнику провести кабель от абонента к ящику со свичем и вставить его в порт, который прописывается в договор. Что может быть проще этой простейшей "унарной" операции : ) ? Ей-богу - в чем утопия ? Это же не интеграл посчитать : ))) MAC адрес переписать сложнее (там цифр больше и о боже - даже латинские символы есть) Ну, а если сеть 50 тысяч абонентов - алгоритм не меняется. Монтажники теже (они же не полные дебилы - какой то месяц обучаются, ходят в паре с опытными - подключают...) К тому же , например, злонамернное перепутывание портов тоже не приводит к трагедии - все равно авторизация в биллинге не по IP (потому что тарифы за Инет не анлимные. Вот когда будут полноценные анлимы - тогда можно отказаться от логинов и паролей). _________ У нас 47 монтажников ________ Что будет, если монтажник с АТС перепутает телефонные провода - ? : )))) Изменено 14 июля, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 14 июля, 2010 · Жалоба Я Вам больше скажу, когда у каждого пакета только один путь (если он пришел от клиента - то в аплинк и наоборот, если он пришел с аплинка - то в абонентский порт) - никакие коллизии хэша при такой архитектуре не страшны. Да и на сами хэши и размер МАС-таблиц плевать, что на доступе что на агрегации. Стройте аккуратную звезду - и будет пофиг! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 14 июля, 2010 · Жалоба 2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент.См. выше, часть функционала не может работать при коллизии, например биндинг заблочит порт. А так как PCF в 3028 рахитные, то чем чистить трафик? Если чистить не на этом свитче, то зачем он вообще нужен? Цифра-китай-сети модели 3950-26 тоже умеет вланы, и купить их можно 2.5 за один длинк. Плюс статистика по видимости маков на портах хорошее подспорье в решении проблем, а тут и доверия к ней уже нет.Многим, я думаю, вообще все-равно что может произойти какая-то там коллизия, поменял влан клиенту да и бог с ним. Но это путь дропонетов а не телекомов, ей богу. При схеме VLAN-per-user биндинг нафиг ненужен (ибо в vlan-е только клиент и если он занимается всякими ip/mac/arp spoofing то он сам себе злобный буратино). На работу ACL-ей хеш-коллизии никак не влияют, проверено. А статистика по видимости маков это конечно неприятность, которая кстати может вводить периодически вводить саппорт в ступор, тут спорить не буду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 14 июля, 2010 (изменено) · Жалоба При схеме VLAN-per-user биндинг нафиг ненужен (ибо в vlan-е только клиент и если он занимается всякими ip/mac/arp spoofing то он сам себе злобный буратино).На работу ACL-ей хеш-коллизии никак не влияют, проверено. Тут согласен, при vlan-per-user как таковой биндинг и не нужен, при схемах vlan на нескольких уже начинает напрягать. Просто зачем тогда этот функционал если он а) может не работать, б) не нужен. ЗЫ. А в режиме ACL он же вроде арпы не фильтрует? Изменено 14 июля, 2010 пользователем DVM-Avgoor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 14 июля, 2010 · Жалоба Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает. Или тарифы поменяет всем : )))) В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами. _________ Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы). Короче - при учете портов никогда не возникало проблем. А какая у вас абоназа? Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком.А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm броадком они ему по моему не изменяют http://nag.ru/projects/inside/ white_crow- сделай вскрытие свича, пожалуйста... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 14 июля, 2010 · Жалоба С тестом AT-8000S пока ничего хорошего не получилось, к сожалению. На имеющейся виртуалке с фряхой 7.3 scapy не взлетел (похоже проблемы с корректным функционированием libdnet, примерно как здесь http://comments.gmane.org/gmane.comp.secur...y.general/3593). На винде scapy заработал, но медленно и печально, ~300-400 пакетов в минуту тем скриптом. При максимальном TTL MAC-адреса в кэше коммутатора равном 630 секунд тест не успевает завершиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 (изменено) · Жалоба Не, в зухеле 3528 - Realtek. Скоро сделаю фотки Изменено 14 июля, 2010 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба Сделал фотки. Там чипы Реалтек. Как добавить в раздел "Внутренности оборудования" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 14 июля, 2010 · Жалоба И в догонку - все же не представляю я , чтобы на свиче доступа было больше сотни МАC/VLAN... Я так понимаю - проблема более остро возникает у тех, у кого герлянды (длинные цепочки домовых свичей) или у кого L2 кольца доступа ? Судя по описанию, проблема не зависит от количества маков. Коллизия может случится даже при 3-4 маках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба Сделал фотки. Там чипы Реалтек. Как добавить ????? в раздел "Внутренности оборудования" я знаю что нету....: ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 14 июля, 2010 · Жалоба Сделал фотки. Там чипы Реалтек. Как добавить ????? в раздел "Внутренности оборудования"я знаю что нету....: ) упс лопухнулся думал ты туда залил их Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 14 июля, 2010 · Жалоба могу просто написать названия чипов.... пойдет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 14 июля, 2010 (изменено) · Жалоба А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm Лежит в моём запоминающем устройстве (мозге) информация, что например HP ProCurve 2524 - это SMC6724, только софта другая. Соответственно реальный производитель тех и других Accton Technology. (Пардон, кажется всё-таки аналог SMC6624M.) Изменено 14 июля, 2010 пользователем straus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 14 июля, 2010 · Жалоба фотки и названия... фотки пришли на nag@nag.ru Павел зальет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...