[secandr]

white_crow Сдаём в ремонт в сервисный центр 3526 регулярно, так что проблемы есть. Проблем с 3526 не было пока их количество измерялось сотнями и работали они 1-2 года, потом начали сыпаться. Так что вам всё только предстоит.

ACL пользуем по полной программе в том числе и контент фильтрами, но баги есть. Обещали поправить в 6-ой прошивке. Её пока тестируем и ждём новых багов, как убедимся в её работоспособности, будем лить везде. Кабельная диагностика появилась ещё около года нзад в 5-ой прошивке.

[white_crow]

Я согласен, что год моего опыта с зихелями - это мало. Там будет видно. Буду писать - как у них с надежностью и производительностью...

[secandr]

secandr имеем опыт работы и с зюкселями, в целом показали большую надёжность, хотя всё же их у нас не тысячи. За всё время сдох десяток dsl-модемов и вроде бы всё. В коммутаторах дохли вентиляторы, сейчас начали менять.

[mschedrin]

... потестируйте ARP spoofing prevention на предмет подстановки маков клиентами, будете удивлены неимоверно ;)

Этот механизм ведь защищает только от подмены пользователями мака шлюза, верно? А маки друг друга они могут запросто воровать.

[white_crow]

secandr имеем опыт работы и с зюкселями, в целом показали большую надёжность, хотя всё же их у нас не тысячи. За всё время сдох десяток dsl-модемов и вроде бы всё. В коммутаторах дохли вентиляторы, сейчас начали менять.

сейчас коммутаторы доступа MES3528 идут с пассивным охлаждением

[vmorosov]

Я бы очень сильно задумался.... прежде чем приобрести устройство на чипсете Realtek (фирма которая ранее НИКОГДА не производила чипсеты для управляемых коммутаторов....) о стабильности сборки и работы ПО на этой новинке можно догадываться...

Я отдаю свое предпочтение в сторону предсказуемого и проверенного решения, мне нужна рабочая коммерческаясеть, а не эксперемнтальная зона...

 

 

[white_crow]

сколько длинк "пропахал", прежде чем довести свои свичи до более-менее вразумительного состояния. И раньше тоже эти китайцы делали только тупые мыльницы. Так что это хорошо, что люди пробуют разные варианты, создается конкуренция среди производителей.

 

Вы пожинаете плоды (длинк) той "экспериментальной зоны"...

 

Так что хотябы спасибо скажите эксперементаторам, которым денег на цыску когда-то не хватило : )))....

 

А с помощью меня зикселовцы отточат свои свичи : )))))

[s.lobanov]

Ну если по большому счёту, то разница между netconf и snmp не велика, единственное что по snmp не всегда можно узнать почему железка отказалась что-либо сконфигурить у себя, но это вопрос имплементации, всегда можно сделать статус-переменную в которой хранить код ошибки и такое зачастую встречается(почти у всех так при работе с файлами/конфигами по snmp)

Ой. Сделайте мне добавление BGP нейбора по snmp. Не применяя tftp конечно же. Потом поговорим про остальную "невеликую разницу".

То, что это не реализовано у кого-то(а вероятно у большинства, никогда не интересовался этим вопросом) это совсем ни о чём не говорит, значит просто никому(из крупных покупателей) такая возможность не требуется(да потому что не требуется делать какие-то кнопочки в биллинге, по нажатию на которые поднимется bgp). А для мониторинга bgp-сессий(в глобальной таблице) есть стандартый BGP4-MIB, описанный в RFC 4273, для мониторинга сессий в vrf'ах надо смотреть в проприетарную ветку.

 

И кстати, ничто не мешает реализовать netconf также криво как обычно реализуют snmp, т.е. реализовать не всё, что можно сделать через CLI.

[Alexandr Ovcharenko]

... потестируйте ARP spoofing prevention на предмет подстановки маков клиентами, будете удивлены неимоверно ;)

Этот механизм ведь защищает только от подмены пользователями мака шлюза, верно? А маки друг друга они могут запросто воровать.

Как уже было сказано выше, если включить 0,5% мозговой деятельности и почитать внимательно мануалы (а на сайте и форуме длинка есть еще и огромная масса примеров), то въехать не сложно. У меня ушло 15 минут на освоение темы. Я просто в веб-интерфейсе посмотрел как сделаны правила под ARP Spoofing Prevention и вспомнил из вузовского курса состав заголовка пакета с анонсом ARP. После этого написал простые правила, разрешающие юзеру ARP-анонсы только его IP.

Пример простого набора профилей ACL:

1. Разрешаем на порту arp-анонс только конкретного ip (можно сюда и МАС припаять если уж так надо).

2. Запрещаем любой L2-броадкаст.

3. Разрешаем на порту L3-пакеты с конкретным ip.

4. Запрещаем на порту любой L3.

После этого отключаем пропуск приходящих от юзеров BPDU/DHCP/мультикастов и включаем LBD.

Все - юзер в полной песочнице. Он может как угодно менять MAC/IP и слать в порт любую срань - всем остальным участникам сети от этих действий абсолютно фиолетово. У нас в каждом броадкаст-домене сети АБСОЛЮТНО СТАБИЛЬНО работают по 1000 адресов.

 

80 это у 3526. А он уже все.

Та да! Вместе с Вами скорблю о безвременной кончине этой славной железяки. Длинковские манагеры - уроды! Теперь я вынужден применять DES-3200-26/28 или DES-3528 и скакать от счастья, когда вдруг удается прикупить несколько б/у 3526.

Edited July 9, 2010 by Alexandr Ovcharenko

[tgz]

И кстати, ничто не мешает реализовать netconf также криво как обычно реализуют snmp, т.е. реализовать не всё, что можно сделать через CLI.

Вы прочитали и поняли что такое netconf или просто прочитали?

Вы сами признаете что snmp - это криво. CLI совершенно не подходит для автоматизации, так как рассчитан на людей и машинами парсится неудовлетворительно. Так что Вы лично предлагаете в замен? Или надо и дальше "жить в говне"? Простите за дурнопахнущий эпитет.

Хотя что тут удивительного, сети из 20 мыльниц никогда не будут драйверами технологий. Потому как находятся в конце пищевой цепочки. Где-то в районе ануса, ага.

 

[ingress]

Пример простого набора профилей ACL:

1. Разрешаем на порту arp-анонс только конкретного ip (можно сюда и МАС припаять если уж так надо).

2. Запрещаем любой L2-броадкаст.

3. Разрешаем на порту L3-пакеты с конкретным ip.

4. Запрещаем на порту любой L3.

такая же схема, но можно оптимизировать, в частности сделать гостевой режим, когда после 3 пункта идёт пункт "разрешаем от любого адреса IP на серверы",

при этом удаление правила из 3 профиля, а в 1 профиле правило остаётся.

 

у блинка вся автоматизация абсолютно не эффективна с точки зрения потребления ресурсов коммутатора. (одно IPMb чего стоит, куча режимов, рюшечек и костылей)

[Gunner]

у блинка вся автоматизация абсолютно не эффективна с точки зрения потребления ресурсов коммутатора. (одно IPMb чего стоит, куча режимов, рюшечек и костылей)

А что там с ресурсами ? Порт биндиг работает кушать не просит. Костылей там не видел рюшечек тоже.DHCP Snooping рабтает на ура - дальше ?

[Kaban]

2 Alexandr Ovcharenko: ACL-и не блокируют попадание МАК-ов в FDB, поэтому юзер можети генерить фреймы с МАК-ом шлюза сильно портя при этом жизнь всем остальным на свиче. Для полного эффекта песочницы нужно либо еще port_security задействовать, либо забить на все этьи извраты и перейти на схему vlan на юзера.

 

2 Gunner: Выставьте lease time на 10минут и посмотрите как "чудестно" начинает работать dhcp snooping :)

Edited July 10, 2010 by Kaban

[s.lobanov]

И кстати, ничто не мешает реализовать netconf также криво как обычно реализуют snmp, т.е. реализовать не всё, что можно сделать через CLI.

Вы прочитали и поняли что такое netconf или просто прочитали?

Вы сами признаете что snmp - это криво. CLI совершенно не подходит для автоматизации, так как рассчитан на людей и машинами парсится неудовлетворительно. Так что Вы лично предлагаете в замен?

Я говорю, что snmp криво не с точки зрения идеалогии(есть конечно к чему придраться, но в целом жить можно), а с точки зрения имплементаций на конкретных железках. (Даже на цисках по snmp нельзя всё сделать и приходится извращаться с вливанием кусочков конфигов с ftp/tftp-сервера)

Да, про netconf только прочитал, поэтому позволю себе спросить, что мешает разработчикам прошивок также криво реализовывать netconf как сейчас реализуют snmp?

И ещё позволю высказать своё мнение в целом по поводу автоматизации конфигурирования - надо строить сеть так, чтобы не приходилось конфигурить порт под каждого абонента(не прибивать маки к портом, а использовать vlan-per-user с ограничением кол-ва маков на порту, не делать пакеты IPTV-каналов с помощью запрета multicast-групп на порту, пытаться реализовывать мультисервисную модель услуг так, чтобы для абонента это выглядело как будто всё в одном нетэгированном влане и т.д.), надо настраивать свитч один раз и дальше только пусть пингалка его пингает и опрашивает статус аплинка(ов).

 

Поэтому на вопрос "что лично я предлагаю взамен" - максимально однотипная конфигурация оборудования доступа, шаблонная конфигурация оборудования агрегации и реализация тарифных планов только в "ядре" и самое главное, минимальное вмешательство человеческого фактора при подключении нового абонента(ну без монтажника и агента продаж конечно не обойтись, но суть, думаю, поняли)

[Alexandr Ovcharenko]

2 Alexandr Ovcharenko: ACL-и не блокируют попадание МАК-ов в FDB, поэтому юзер можети генерить фреймы с МАК-ом шлюза сильно портя при этом жизнь всем остальным на свиче. Для полного эффекта песочницы нужно либо еще port_security задействовать, либо забить на все этьи извраты и перейти на схему vlan на юзера.

 

2 Gunner: Выставьте lease time на 10минут и посмотрите как "чудестно" начинает работать dhcp snooping :)

2 Kaban: правильно настроенные ACL-и блокируют попадание МАК-ов в FDB, поэтому юзер может генерить фреймы с МАК-ом шлюза, но никто кроме него об этом не узнает ;) . Для полного эффекта песочницы нужно лишь то, что я описал выше. Это касается серий свичей 3526 и 3200, проверил лично неоднократно. Сегодня даже косяк на этом поймал - случайно в одном свиче ошибся в МАС шлюза в правиле ARP Spoofing Prevention, весь дом не видел шлюз (и наоборот) до тех пор, пока МАС не подправил. При этом реальный МАС шлюза в FDB не попал (успешно резался АЦЛ).

Не знаю почему, но Вы спорите о том, чего сами явно не пробовали. У меня же (ИМХО, я не один такой) на этом всем реально работает достаточно крупная сеть. Да, были жуткие проблемы и с подстановкой юзерами адресов шлюза, и с левыми дхцп, и с флуд-генераторами МАС, и с левым мультикастом, и с броадкаст-штормами. Но все это в ДАЛЕКОМ прошлом. С момента выхода прошивок 5-го релиза на 3526 и включения мозга все это кануло в лету.

Приношу Вам свои извинения в том, что моя практика не подтверждает Вашу теорию.

Edited July 10, 2010 by Alexandr Ovcharenko

[Kaban]

Только что создал на свиче:

 

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1

config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 5 deny

 

после чего сделал

 

clear fdb port 5

 

а fdb на 5-м порту как был МАК, так и остался.

 

Приношу Вам свои извинения в том, что моя практика не подтверждает Вашу теорию.

 

[ingress]

у блинка вся автоматизация абсолютно не эффективна с точки зрения потребления ресурсов коммутатора. (одно IPMb чего стоит, куча режимов, рюшечек и костылей)

А что там с ресурсами ? Порт биндиг работает кушать не просит. Костылей там не видел рюшечек тоже.DHCP Snooping рабтает на ура - дальше ?

все функции типа arp_spoofing_prevention, ipmb жрут много лишних правил, учитывать мак адрес не надо(мак лёрнинг и acl разные вещи, если я поставлю себе мак шлюза, то acl от флапа маков и потери конективити не спасёт).

знаете зачем его учитывают? ответ прям от длинка получил, когда доказывал им что это лишняя трата ресурсов.

он там только для того чтобы коммутатор мог делать WARN в лог что неправильная связка заблокирована и блокировать трафик от МАКа. всё.

auto_fdb (великий костыль против колизий с маком шлюза) вообще сделана так что после её включения PCF нельзя использовать(в том числе и ф-ии автоматизации которые его используют)

[Alexandr Ovcharenko]

Ребят! Да возмите и настройте на стенде ARP Spoofing Prevention на всех портах. Там делается жесткая привязка, что МАС такой-то в арп-анонсе должен соответствовать КОНКРЕТНОМУ IP. Все остальные анонсы, содержащие ЛИБО этот МАС, ЛИБО этот IP идут лесом.

Просто возьмите и попробуйте после этого подставить себе МАС или IP шлюза ;)

[ingress]

(мак лёрнинг и acl разные вещи, если я поставлю себе мак шлюза, то acl от флапа маков и потери конективити не спасёт).

 

[Kaban]

вот и я о том же.

[Gunner]

2 Alexandr Ovcharenko: ACL-и не блокируют попадание МАК-ов в FDB, поэтому юзер можети генерить фреймы с МАК-ом шлюза сильно портя при этом жизнь всем остальным на свиче. Для полного эффекта песочницы нужно либо еще port_security задействовать, либо забить на все этьи извраты и перейти на схему vlan на юзера.

 

2 Gunner: Выставьте lease time на 10минут и посмотрите как "чудестно" начинает работать dhcp snooping :)

А нафиг такая короткая аренда ? У меня стоит 24 часа + каждые 10 минут рерстартует сервер с убиением файла аренды. В снупинге стоит 5 адресов все работает. Захотел юзверь поменять комп на ноут пусть подождет 10 минут. Всех предупреждаем.

[Kaban]

Когда стоит 24 часа проблем нет, а когда стоит 10 минут то начинается веселуха. А короткое время аренды может быть нужно на пример для более эффективной утилизации адресного пула. Но вопрос не в том зачем нужно или не нужно коротокое время аренды, а в том что снупинг реализован с косяками.

Edited July 11, 2010 by Kaban

[DVM-Avgoor]

Та да! Вместе с Вами скорблю о безвременной кончине этой славной железяки. Длинковские манагеры - уроды! Теперь я вынужден применять DES-3200-26/28 или DES-3528 и скакать от счастья, когда вдруг удается прикупить несколько б/у 3526.

У 3526 тоже болезней хватало, горевать не буду. От "советов" доблестных инженеров раша-длинка (хотя не уверен, что "инженер" подойдет) я успел хватануть и 3028 с его болезнью.

Есть мнение, что никакой PCF меня уже не уговорит к покупке длинков. Digital China тоже умеет вланы и ацл, при 2х кратной разнице в цене выбор очевиден.

[DVM-Avgoor]

2 Kaban: правильно настроенные ACL-и блокируют попадание МАК-ов в FDB, поэтому юзер может генерить фреймы с МАК-ом шлюза, но никто кроме него об этом не узнает ;) .

Правильно настроенные ацл не дадут "выйти" какашкам с этого порта в сторону других портов, но чип все равно обычно изучает всю ерунду что на порту есть (портсек на 3 мака спасает).

Я в 3526 пользовал все вкусности PCF, делая правила IP и ARP для каждого порта. Очень чисто выходило, никакая гадость не пролетала дальше порта. А в 3028 пцф больной, не входят мои данные. IMPB что-нибудь да пропускает (со слов Демина), ACL-mode вроде как арпы вообще не режет. В общем грустно, такую идею испортили...

[Kaban]

У Длинк-а мне больше всего нравится сервис. Технику ремонтируют довольно оперативно и за вменяемые деньги.