[DVM-Avgoor]

2 DVM-Avgoor: обьясните подробнее как при схеме vlan-per-user может вылезти проблема с коллизяими хеш-а ?

Точно так же как и при "плоской" сети, коллизия происходит только между 2-мя и более мак-вланами (для удобства так назову). Нет никаких, ровным счетом, условий, чтобы в таком свитче не случилось коллизии между соседними мак-вланами при схеме разного влана на каждый порт клиента (да и что таить, между юзером и шлюзом!), ибо хэш может запросто совпасть. Я полагаю, что говоря о "практически нулевой вероятности такого события при vlan-per-user", длинк сильно лукавит. Да, чистая вероятность меньше, а то же маков с магистрального порта прилетит 3к и привет. Но еще раз повторюсь - коллизирует не юзер-мак-влан с какой-то там магистралью, а конкретные пары, а значит вероятность не нулевая! Как предоставлять услугу если не уверен в ее постоянстве? А может уверен но не повезет? :)

 

Я хочу чтобы было как при 3526, никаких там вероятностей, меняй раз в год кондеры и вентиляторы да живи.

[vIv]

Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?

Я про это. Кроме того, по ссылке ASIC-и достаточно тяжёлых серий. Это платиновый "доступ" получится.

 

Я сильно не уверен что это не перекрашеный марвел.

Берём фичелист и сравниваем :-))

[Kaban]

2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент.

[DVM-Avgoor]

2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент.

См. выше, часть функционала не может работать при коллизии, например биндинг заблочит порт. А так как PCF в 3028 рахитные, то чем чистить трафик? Если чистить не на этом свитче, то зачем он вообще нужен? Цифра-китай-сети модели 3950-26 тоже умеет вланы, и купить их можно 2.5 за один длинк. Плюс статистика по видимости маков на портах хорошее подспорье в решении проблем, а тут и доверия к ней уже нет.

 

Многим, я думаю, вообще все-равно что может произойти какая-то там коллизия, поменял влан клиенту да и бог с ним. Но это путь дропонетов а не телекомов, ей богу.

[white_crow]

на Zyxel MES-3528 чип Realtek

сцылка

[Gunner]

Это проц, а работа с сетью лежит на асиках чипсете.

 

А есть кто заксели с аледтелесинами потестить ?

Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384

На работе есть AT-8000S, могу потестить если кому интересно.

Если не сложно

[DVM-Avgoor]

на Zyxel MES-3528 чип Realtek

сцылка

There are 16K entries in the 4-way hash L2 table for MAC address learning and searching.

 

Да, звучит многообещающе :)

[white_crow]

Это проц, а работа с сетью лежит на асиках чипсете.

 

А есть кто заксели с аледтелесинами потестить ?

Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384

На работе есть AT-8000S, могу потестить если кому интересно.

Если не сложно

 

Я тест Zyxel сделаю по этой методе, но в контексте D_link у вас другая терминология, давайте уточним? :

fdb - Если это просто MAC Table, тогда понятно.

fdb aging time = 1000000 - это типа MAC Address Learning Aging Time ?

И цифра в секундах?

 

[white_crow]

И в догонку - все же не представляю я , чтобы на свиче доступа было больше сотни МАC/VLAN

 

Я еще раз повторюсь - у меня схема - VLAN на свич доступа. В цепочку не больше двух свичей. Терминируются VLAN на L3 свиче агрегации.

Даже с учетом мультикаста и MVR - проблем с хешами не возникает. (может ее вообще в Zyxel нет - тест сделаю, как только время найду)

 

Я так понимаю - проблема более остро возникает у тех, у кого герлянды (длинные цепочки домовых свичей) или у кого L2 кольца доступа ?

[mschedrin]

Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.

Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает.

Или тарифы поменяет всем : ))))

В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами.

Прямо утопия какая-то :)

А может у вас сеть просто маленькая, поэтому ей так просто управлять? Сколько, например, монтажников у вас работатет?

[white_crow]

Это проц, а работа с сетью лежит на асиках чипсете.

 

А есть кто заксели с аледтелесинами потестить ?

Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384

На работе есть AT-8000S, могу потестить если кому интересно.

Если не сложно

Кстати, тест этого зухеля уже делали

 

сцылка

[white_crow]

Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.

Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает.

Или тарифы поменяет всем : ))))

В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами.

Прямо утопия какая-то :)

А может у вас сеть просто маленькая, поэтому ей так просто управлять? Сколько, например, монтажников у вас работатет?

Ну, да, сеть маленькая чуть более 6000 хомячков с постоянным ростом.

Но, поверьте - никогда не было проблем монтажнику провести кабель от абонента к ящику со свичем и вставить его в порт, который прописывается в договор.

Что может быть проще этой простейшей "унарной" операции : ) ? Ей-богу - в чем утопия ? Это же не интеграл посчитать : )))

MAC адрес переписать сложнее (там цифр больше и о боже - даже латинские символы есть)

Ну, а если сеть 50 тысяч абонентов - алгоритм не меняется. Монтажники теже (они же не полные дебилы - какой то месяц обучаются, ходят в паре с опытными - подключают...)

К тому же , например, злонамернное перепутывание портов тоже не приводит к трагедии - все равно авторизация в биллинге не по IP (потому что тарифы за Инет не анлимные. Вот когда будут полноценные анлимы - тогда можно отказаться от логинов и паролей).

_________

У нас 47 монтажников

________

Что будет, если монтажник с АТС перепутает телефонные провода - ? : ))))

Изменено 14 июля, 2010 пользователем white_crow

[UglyAdmin]

Я Вам больше скажу, когда у каждого пакета только один путь (если он пришел от клиента - то в аплинк и наоборот, если он пришел с аплинка - то в абонентский порт) - никакие коллизии хэша при такой архитектуре не страшны. Да и на сами хэши и размер МАС-таблиц плевать, что на доступе что на агрегации.

Стройте аккуратную звезду - и будет пофиг!

[Kaban]

2 DVM-Avgoor: Ну сколизиует пара маков из разных влано-в. И что с того ? Флуд то будет изолирован в пределах одного влан-а, а там всегда только два мак-а - шлюз и клиент.

См. выше, часть функционала не может работать при коллизии, например биндинг заблочит порт. А так как PCF в 3028 рахитные, то чем чистить трафик? Если чистить не на этом свитче, то зачем он вообще нужен? Цифра-китай-сети модели 3950-26 тоже умеет вланы, и купить их можно 2.5 за один длинк. Плюс статистика по видимости маков на портах хорошее подспорье в решении проблем, а тут и доверия к ней уже нет.Многим, я думаю, вообще все-равно что может произойти какая-то там коллизия, поменял влан клиенту да и бог с ним. Но это путь дропонетов а не телекомов, ей богу.

При схеме VLAN-per-user биндинг нафиг ненужен (ибо в vlan-е только клиент и если он занимается всякими ip/mac/arp spoofing то он сам себе злобный буратино).

На работу ACL-ей хеш-коллизии никак не влияют, проверено.

 

А статистика по видимости маков это конечно неприятность, которая кстати может вводить периодически вводить саппорт в ступор, тут спорить не буду.

[DVM-Avgoor]

При схеме VLAN-per-user биндинг нафиг ненужен (ибо в vlan-е только клиент и если он занимается всякими ip/mac/arp spoofing то он сам себе злобный буратино).

На работу ACL-ей хеш-коллизии никак не влияют, проверено.

Тут согласен, при vlan-per-user как таковой биндинг и не нужен, при схемах vlan на нескольких уже начинает напрягать. Просто зачем тогда этот функционал если он а) может не работать, б) не нужен.

 

ЗЫ. А в режиме ACL он же вроде арпы не фильтрует?

Изменено 14 июля, 2010 пользователем DVM-Avgoor

[zoro]

Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.

Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает.

Или тарифы поменяет всем : ))))

В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами.

 

_________

Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы).

Короче - при учете портов никогда не возникало проблем.

А какая у вас абоназа?

 

Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком.

А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm

броадком они ему по моему не изменяют http://nag.ru/projects/inside/

 

white_crow- сделай вскрытие свича, пожалуйста...

[azhur]

С тестом AT-8000S пока ничего хорошего не получилось, к сожалению.

На имеющейся виртуалке с фряхой 7.3 scapy не взлетел (похоже проблемы с корректным функционированием libdnet, примерно как здесь http://comments.gmane.org/gmane.comp.secur...y.general/3593).

На винде scapy заработал, но медленно и печально, ~300-400 пакетов в минуту тем скриптом.

При максимальном TTL MAC-адреса в кэше коммутатора равном 630 секунд тест не успевает завершиться.

[white_crow]

Не, в зухеле 3528 - Realtek. Скоро сделаю фотки

Изменено 14 июля, 2010 пользователем white_crow

[white_crow]

Сделал фотки. Там чипы Реалтек. Как добавить в раздел "Внутренности оборудования"

[straus]

И в догонку - все же не представляю я , чтобы на свиче доступа было больше сотни МАC/VLAN

...

Я так понимаю - проблема более остро возникает у тех, у кого герлянды (длинные цепочки домовых свичей) или у кого L2 кольца доступа ?

Судя по описанию, проблема не зависит от количества маков. Коллизия может случится даже при 3-4 маках.

[white_crow]

Сделал фотки. Там чипы Реалтек. Как добавить ????? в раздел "Внутренности оборудования"

я знаю что нету....: )

[Gunner]

Сделал фотки. Там чипы Реалтек. Как добавить ????? в раздел "Внутренности оборудования"

я знаю что нету....: )

упс лопухнулся думал ты туда залил их

 

[white_crow]

могу просто написать названия чипов.... пойдет?

[straus]

А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm

Лежит в моём запоминающем устройстве (мозге) информация, что например HP ProCurve 2524 - это SMC6724, только софта другая. Соответственно реальный производитель тех и других Accton Technology. (Пардон, кажется всё-таки аналог SMC6624M.)

Изменено 14 июля, 2010 пользователем straus

[zoro]

фотки и названия...

фотки пришли на nag@nag.ru Павел зальет...