Jump to content
Калькуляторы

Реальные недостатки коммутаторов доступа D_link поделитесь реальными отзывами...

У Длинк-а мне больше всего нравится сервис. Технику ремонтируют довольно оперативно и за вменяемые деньги.

А я просил мне 3028 отремонтировать до вменяемого состояния, не смогли :)

Share this post


Link to post
Share on other sites
Alexandr Ovcharenko Если даже порезать весь трафик на порту, маки будут попадать в FDB. Это даже длинк признал: http://forum.dlink.ru/viewtopic.php?t=119442&highlight= обещают исправить в 6-ом официальном релизе.

Share this post


Link to post
Share on other sites
Поэтому на вопрос "что лично я предлагаю взамен" - максимально однотипная конфигурация оборудования доступа, шаблонная конфигурация оборудования агрегации и реализация тарифных планов только в "ядре" и самое главное, минимальное вмешательство человеческого фактора при подключении нового абонента(ну без монтажника и агента продаж конечно не обойтись, но суть, думаю, поняли)

Да говно вопрос, это все есть уже сейчас. Только для нищебродских домонетов дорого. Однако и в ядре нужно что-то конфигурировать. И в автоматическом режиме тоже. Пример про BGP более чем показательный.

 

Share this post


Link to post
Share on other sites
... потестируйте ARP spoofing prevention на предмет подстановки маков клиентами, будете удивлены неимоверно ;)
Этот механизм ведь защищает только от подмены пользователями мака шлюза, верно? А маки друг друга они могут запросто воровать.

Как уже было сказано выше, если включить 0,5% мозговой деятельности и почитать внимательно мануалы (а на сайте и форуме длинка есть еще и огромная масса примеров), то въехать не сложно. У меня ушло 15 минут на освоение темы. Я просто в веб-интерфейсе посмотрел как сделаны правила под ARP Spoofing Prevention и вспомнил из вузовского курса состав заголовка пакета с анонсом ARP. После этого написал простые правила, разрешающие юзеру ARP-анонсы только его IP.

Пример простого набора профилей ACL:

1. Разрешаем на порту arp-анонс только конкретного ip (можно сюда и МАС припаять если уж так надо).

2. Запрещаем любой L2-броадкаст.

3. Разрешаем на порту L3-пакеты с конкретным ip.

4. Запрещаем на порту любой L3.

После этого отключаем пропуск приходящих от юзеров BPDU/DHCP/мультикастов и включаем LBD.

Все - юзер в полной песочнице. Он может как угодно менять MAC/IP и слать в порт любую срань - всем остальным участникам сети от этих действий абсолютно фиолетово. У нас в каждом броадкаст-домене сети АБСОЛЮТНО СТАБИЛЬНО работают по 1000 адресов.

Это всё прекрасно, я packet content acl тоже умею писать, Вы говорили про arp spoofing prevention. Я про него и спрашивал, как этот механизм вы используете в сети? Чтобы научиться писать acl?

Share this post


Link to post
Share on other sites
Это всё прекрасно, я packet content acl тоже умею писать, Вы говорили про arp spoofing prevention. Я про него и спрашивал, как этот механизм вы используете в сети? Чтобы научиться писать acl?
1. Задайте в свиче правила arp spoofing prevention.

2. В веб-интерфейсе зайдите в раздел ацл и посмотрите внимательно, что и как там нарисовалось в виде конкретных ацл на заданные Вами пары IP+MAC в arp spoofing prevention.

3. Нагуглите в википедиях описание протокола арп и состав их пакетов.

4. Сопоставьте увиденное в пункте 2 с пунктом 3.

Все вышеописанное и позволило мне по аналогии с arp spoofing prevention сделать фильтрацию arp-анонсов от юзера по IP или MAC (или по связке IP+MAC). Единственное неудобство - на каждого юзера расходуется 2 правила (и 2 профиля). Ибо надо сначала разрешить конкретный арп-анонс, а потом запретить все остальное. Но если запрет будет на весь броадкаст (dest MAC=FF-FF-FF-FF-FF-FF), то убиваются несколько зайцев сразу - DHCP/PPPoE/ARP/всякая игровая срань/всякие супер-чаты (аля вайпрес)/etc.

И после этого скажите мне - каким макаром (или может Макаром?) юзер сворует МАС соседа и будет счастлив? Максимум что он сможет сделать - нагадить соседям по свичу (раз уж его МАС таки флапнет FDB) - а это всего 23 абонента. Дальше этого свича это ведь никак не расползется. Юзер-спуфер же, получив в ответ на подставленный соседский МАС тишину, вынужден будет искать другое решение :) .

 

И вообще, возвращаясь к названию топика, ИМХО, длинки с их PCF на доступе все-таки гораздо более выгодные свичи по сравнению с конкурентами при условии, что схема доступа - не влан_пер_кастомер (только пожалуйста не надо меня тут злорадно ловить на слове - устройте лучше опрос каков реальный процент сетей использует полноценный влан_пер_кастомер). Реальные недостатки у длинков несомненно есть, но в ряде случаев другие свичи этой ценовой же категории с аналогичными недостатками явно уступают им по функционалу.

Share this post


Link to post
Share on other sites

Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....

Share this post


Link to post
Share on other sites

Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....

Это и у длинка работает - 1 но. Если сеть плоская - начинаются проблемы с хэшем тут можно вешатся. Хотя тотже заксель никто на изучения маков не пытал хз какой там чипсет.

Share this post


Link to post
Share on other sites

Плоская - всмысле большие широковещательные домены? (типа VLAN на район?)

Есть у меня такой райончик, хаотично развивающийся - вопросов никаких не возникает. Каковы признаки проявления (конкретные негативные симптомы) проблемы с хешем на длинках?

(представители зухеля заявляют, что в их свичах проблем с хешем не существует (мне кажется - там ввобще такого понятия нет - свич оперирует в мозгах непосредственно маками (это чисто мое предположение , потому что нигде ни в каких командах консольных я не встречал про хэши ни слова.... : )))

Edited by white_crow

Share this post


Link to post
Share on other sites

и не встретите. С хешем работает непосредственно кристалл - хеш короче мак адреса, меньше памяти требуется.

Share this post


Link to post
Share on other sites

Так как оборачивается проблема хешей длинка

у хомячков? Рвется связь? Надолго? Как лечится?

Share this post


Link to post
Share on other sites
Так как оборачивается проблема хешей длинка

у хомячков? Рвется связь?

ага
Надолго? Как лечится?
cl flood

Share this post


Link to post
Share on other sites
Так как оборачивается проблема хешей длинка у хомячков? Рвется связь? Надолго? Как лечится?

Хомячку льется чужой траффик. Если у хомячка стоит wifi точка (или другое не шибко производительное оборудование), а ему сливается 100М торрент траффика от другого хомячка то его точка доступа клеит ласты.

 

Если нет мультикаста (iptv), то построение сети по принцыпу "каждому барану по влан-у" спасет от проблем с коллизиями хеша.

Edited by Kaban

Share this post


Link to post
Share on other sites
Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....
А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82?

 

1. Задайте в свиче правила arp spoofing prevention.

2. В веб-интерфейсе зайдите в раздел ацл и посмотрите внимательно, что и как там нарисовалось в виде конкретных ацл на заданные Вами пары IP+MAC в arp spoofing prevention.

3. Нагуглите в википедиях описание протокола арп и состав их пакетов.

4. Сопоставьте увиденное в пункте 2 с пунктом 3.

Все вышеописанное и позволило мне по аналогии с arp spoofing prevention сделать фильтрацию arp-анонсов от юзера по IP или MAC (или по связке IP+MAC). Единственное неудобство - на каждого юзера расходуется 2 правила (и 2 профиля). Ибо надо сначала разрешить конкретный арп-анонс, а потом запретить все остальное. Но если запрет будет на весь броадкаст (dest MAC=FF-FF-FF-FF-FF-FF), то убиваются несколько зайцев сразу - DHCP/PPPoE/ARP/всякая игровая срань/всякие супер-чаты (аля вайпрес)/etc.

И после этого скажите мне - каким макаром (или может Макаром?) юзер сворует МАС соседа и будет счастлив? Максимум что он сможет сделать - нагадить соседям по свичу (раз уж его МАС таки флапнет FDB) - а это всего 23 абонента. Дальше этого свича это ведь никак не расползется. Юзер-спуфер же, получив в ответ на подставленный соседский МАС тишину, вынужден будет искать другое решение :) .

 

И вообще, возвращаясь к названию топика, ИМХО, длинки с их PCF на доступе все-таки гораздо более выгодные свичи по сравнению с конкурентами при условии, что схема доступа - не влан_пер_кастомер (только пожалуйста не надо меня тут злорадно ловить на слове - устройте лучше опрос каков реальный процент сетей использует полноценный влан_пер_кастомер). Реальные недостатки у длинков несомненно есть, но в ряде случаев другие свичи этой ценовой же категории с аналогичными недостатками явно уступают им по функционалу.

Согласен с вами, этот функционал прекрасно будет работать, только я думал вы именно с помощью встроенного в длинк механизма arp spoofing prevention это делали. В случае в acl всё ясно.

Share this post


Link to post
Share on other sites

А пресловутый IMPB? Он от проблемы с хешами вообще не выигрывает, блочит.

Я подозреваю, что и DHCP Relay может неправильно отрабатывать, особенно в "плоской" сети.

Проблема с хешем вообще зло, ибо "вероятность возникновения коллизии всего около 5%" очень смущает. Конфликтуют всего два мака-влана, и они могут быть совершенно нечаянно на одном свитче даже при полностью правильном vlan-per-user. Как вам нравится: "вероятность предоставления услуги близкая к 95%"? Не особо вкусный пиар для провайдера.

Edited by DVM-Avgoor

Share this post


Link to post
Share on other sites

Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?

Share this post


Link to post
Share on other sites
Ну, по-поводу конкурентов. У меня на доступе стоят Zyxel (схема VLAN на доступ). Нет никаких проблем с подменами MAC. Вообще пофиг на маки. Никогда не собираю. Пусть люди спокойно меняют свои CPE сколько угодно. Ибо Option82 рулит. IP получил от DHCP лично свой по номеру порта и коммутатора и все....
А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82?

 

 

Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.

Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает.

Или тарифы поменяет всем : ))))

В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами.

 

_________

Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы).

Короче - при учете портов никогда не возникало проблем.

___

Юзер звонит в диспетчерскую- "хочу ваш Инет" и свой дом говорит и время , когда будет дома. В базе заявку оформили, распечатали и встопку - там монтажники между собой распределили и вперед. Приехали, кабелть провели, всунулу в прописанный порт. Оформили договор. Хомяк выбрал тариф. Позвонили оператору - тот в биллинге сформировал учетку, выбрал тариф, прописал порт, сказал монтажнику логин и пароль. Те договор подписали, проверили - инет работает. До свидания.

А, еще забыл - квитанцию оформили - сколько налички на счет сразу кинуть - тоже сумму оператору сообщили и номер квитанции.

 

Ну, вообщем - не сложнее, чем Маки собирать. Так уж 2,5 года работаем - никаких проблем. А юзеру нет гимора звонить в саппорт и жаловаться, что друг принес ноут, или прсото комп сменили на новый и вдруг Инет не работает....

Share this post


Link to post
Share on other sites
А если придет монтажник на дом и поперетыкает абонентов в другие порты, что будете делать с option 82

Вычесть из зарплаты. После этого у монтажника желание "поперетыкать" сильно убавляется .

 

2 DVM-Avgoor: обьясните подробнее как при схеме vlan-per-user может вылезти проблема с коллизяими хеш-а ?

Edited by Kaban

Share this post


Link to post
Share on other sites
Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?
А какая разница - какой процент длинков. Даже если в мире всего одна сеть из зухелей - ну нет никакой проблемы с маками. Совсем. Даже когда VLAN на район в 400 хомяков....

Видимо, СОВСЕМ другой алгоритм. Иначе я должне был заметить траблы по жалобам хомяков, не так ли ?

Share this post


Link to post
Share on other sites

Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком. И расчет хэша возложен на чип. Производитель комутатора к нему никак руку приложить не может. А дальше песни и пляски святого Витта.

Share this post


Link to post
Share on other sites

Мне сдается что вся проблема в том, что % свичей длинк существенно больше. И поэтому длинководы заметили ее первыми. Как показала практика тестов, почти все свичи на агрегацию болеют этим. Пр циску не поминаемем, а то сейчас в нищеброды запишут. А есть кто заксели с аледтелесинами потестить ?

Если с АТИ ничего внезапно не случилось, то у них всё должно быть хорошо. На тесты они своё железо запросто дают, это не проблема.

Share this post


Link to post
Share on other sites

Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком. И расчет хэша возложен на чип. Производитель комутатора к нему никак руку приложить не может. А дальше песни и пляски святого Витта.

завтра раскручу Zyxel и гляну маркировку чипа - если там человеческим языком написано....

Share this post


Link to post
Share on other sites
Ну, никогда такого не было. Монтажник знает, что порты низя наугад перепутывать.

Это тоже самое, что абоненсткйи отдел в биллинге ваши маки всем поперепутает.

Или тарифы поменяет всем : ))))

В любом случае - для клиента лучше - когда ему не глушат мозг какими-то мак адресами.

 

_________

Кстати, при получении заявки на "ремонт интернета" - у монтажника написан номер порта, коммутатора, номер договора и адрес (всмыслу улица /дом) и контактный телефон клиента (все автоматом из базы).

Короче - при учете портов никогда не возникало проблем.

А какая у вас абоназа?

 

Вы уверены ? дело в том что в мире 2 большие конторы которые делают чипсеты для комутаторов - это марвел и броадком.
А эти? http://www.hp.com/rnd/itmgrnews/built_for_future.htm

Share this post


Link to post
Share on other sites
% прокурв на доступе пожалуйста - помоему опрос в разделе показал. И как тот китайский еврей

Я сильно не уверен что это не перекрашеный марвел.

Share this post


Link to post
Share on other sites

блин, там хитрожопые заклепки на радиаторах. Не хочу курочить. Задал вопрос в письме интегратору. Буду ждать ответ.

Но косвенно сужу так: функционал сильно отличается у зухеля от других свичей, например их система Classifier и Policy - аналог ACL - к нему еще привыкнуть надо : ))))), а эти фишки "выполнены" аппаратно.

Либо всетаки есть еще другие производители чипов, кроме тех двух, либо зихел разрабатывает свой "дизайн чипов", а потом заказывает их "штамповку".

Этому свидетельствует тот, факт, что на семинаре в Минске по зухелю (три дня) - люди задавали вопрос - когда у зихеля будет стек работать в коммутаторах 4728 (24 оптических гигабитных порта, 2шт 10-гигабит, 2 медных 12G - для стека, но пока юзается как обычный порт).

И был вопрос, когда они сделают более мощные свичи для ядра.

Ответы были такие, что я слов не запомнил, но смысл, что они уже давно над этим работают, существует демоверсии, но есть определенные проблемы с блокировкой матрицы и они постепено все эти проблемы решают (их инженеры)....

Share this post


Link to post
Share on other sites
А есть кто заксели с аледтелесинами потестить ?
Алгоритм тестирования этот? http://forum.nag.ru/forum/index.php?showto...st&p=511384

На работе есть AT-8000S, могу потестить если кому интересно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this