Перейти к содержимому
Калькуляторы

Коммутаторы доступа для IPv6-сетей 802.1x, DHCPv6 snooping & relay, HW ACL, ICMPv6

вот есть у НАГа такая интересная штукенция - SNR-S2960-24G. и про неё написано мол "Hardware support for IPv6 source/destination/TCP/UDP/protocol based ACL" и "Hardware support DHCP snooping", но всё равно не ясно - можно ли её использовать на доступе IPv6-сети.

а конкретно (если кто знает - просветите), значит ли это, что:

1) DHCPv6 snooping & relay работает ?

2) можно запилить RA с пользовательских портов без ущерба для скорости коммутации ?

3) можно разрешить пользовательскому оборудованию иметь stateless и link-local адреса, несмотря на блокирование на порту посредством ip source guard адресов "внешних", помимо выданного по dhcp для этого оборудования (проще говоря, иметь 3 IPv6 адреса: statefull, stateless, link-local) ? или же он, при включённом ip source guard на порту, просто будет блокировать всё с source-адресами, не из ответа DHCPv6, не смотря на глобальные правила ACL, разрещающие пакеты с source с определёнными prefix'ами ?

4) коммутатор умеет ICMPv6, и, _важно_ - MLD ?

ещё не ясно - почто при всём этом счастье нет SNMPv3 ? хотя это не так важно

 

ну и если кто знает/может посоветовать L2 коммутаторы доступа, на которых это всё поддерживается, не стесняйтесь написать. очень интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не хочу опорочить коммутатор, который в руках не держал, но подержав за прошедший год штук 10 разных коммутаторов, завещаю не верить и проверять. Уж сколько раз у китайцев было написано все красиво, а работало через попу и только 20-30% всего функционала.

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уж сколько раз у китайцев
через пару лет китайцы уделают всех передовиков по части железок.

сам раньше скептически относился к китайской промышленности, но то, что вижу сейчас - вселяет нехилый заряд оптимизма.

во-первых, китайцы учатся работать с клиентами - да, тех.поддержки от производителей в нашей стране как таковой нет - в лучшем случае один два переводчика у компании-поставщика, которые играют в "сломаный телефон" переводя ваши багрепорты на английский или китайский и отправляя производителю, но даже в такой ситуации люди научились работать очень оперативно.

во-вторых, постепенно повышается качество самой продукции. если раньше железки страшно было в розетку втыкать - могло и 220 по корпусу пустить, а в худшем случае и на столе рвануть, то сейчас при вскрытии некоторых представителей оной продукции, глаза радуются качественной спайке элементов, продуманному охлаждению и т.п.

поверьте - это не пустой звук. на своей шкуре испытал развитие китайской промышленности от схем, где олово накладывали утюгами, до аккуратных решений, где и с микроскопом придраться не к чему. тоже касается и софта - китай очень быстро начал реагировать на багрепорты, начали учитывать предложения и пожелания.

активно используем продукцию одного достаточно недорогого производителя, последние багрепорты по продукции были отправлены с неделю назад, ну может чуток больше (потерял счет дней из-за 8го марта), и вчера уже получил свежий софт, в котором учли мои багрепорты, мои пожелания, багрепорты и пожелания других клиентов.

что то мне подсказывает, что если китайская продукция получит массовое распространение в нашей стране, то мы скоро увидим, помимо поставщиков, офисы сервисного обслуживания, и службы технического сопровождения.

Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 darkagent - твои слова да китайцам в уши )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в компетенции широкого круга китайцев я не сомневаюсь, хотя тоже приходилось подержать в руках невнятного говна с набранной на кривом английском инструкцией. тут вопрос не в совестливости китайцев как народа, а в том, что же такое к нам НАГ привозит, и как оно на самом деле работает. вот и прошу пояснений. не за свои же деньги проверять. вероятно многие считают так же и не затариваются этим.

 

но фиг с ним, SNR. интересны вообще все железки с указанным функционалом (заявленным и/или присутствующим), от любых производителей плат, под любыми марками и в широком диапазоне цен. хотя с ценами в ~40к за штуку такой найти не сложно... но кого жаба не задушит и инвестор не утопит такой доступ покупать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent Согласен, они могут делать и делают. Только это не всегда получается или не всегда до них доносят. Сейчас у меня на столе лежат свитчи, по внешнему виду 1:1 DCN. Только надпись тем же шрифтом сделана другая. С ноября пинаю продавца, а он китайцев, и не могут реализовать dhcp relay с опцией 82.

И в нем заявлена полная поддержка IPv6 судя по доке, вроде все что вы, Virtuous, спрашиваете. Но при текущих проблемах с ipv4 даже замахиваться на ту часть функционала не стал.

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent

Я бы опасался бакфиксов, написанных за неделю.

Сетевое железо - продукт, который все-таки посложнее кофеварки. И ПО должно проходить процедуру тестирования перед тем, как его доставляют вам.

А, судя по вашему комментарию, вы рады тому, что являетесь бета-тестером для китайцев. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent

Я бы опасался бакфиксов, написанных за неделю.

Сетевое железо - продукт, который все-таки посложнее кофеварки. И ПО должно проходить процедуру тестирования перед тем, как его доставляют вам.

А, судя по вашему комментарию, вы рады тому, что являетесь бета-тестером для китайцев. :)

когда мы брали товар на пробу (прям как про кокаин говорим :D), у нас уже был "необходимый минимум", и китайские железки как нистранно по всем пунктам "минимума" отработали из коробки без нареканий. а вот к огда уже захотелось чего то большего, тогда и появилась тенденция к бетатестингу и вылизыванию железа. нашими (и не только) усилиями, железки уровня web-smart можно сказать превратились в полнофункциональный l2 доступ с блекджеком и ***ми. более того - характер отмеченых багфиксов практически не затрагивает основной функционал. например dhcp-relay, qos, и mvr у нас завелся из коробки. четверть багфиксов - узкоспецифичные - например относительно 802.1х (вы им пользуетесь?) и vlan-stacking (да да, qinq), или может power saving вам очень важен? приличная часть конечно же затрагивает snmp функционал - где мибы поправить, где какие oid некорректно отрабатывают, где то просто что то интересно добавят (ddmi function by snmp interface). еще пара месяцев такой интенсивной работы, и железки будут поистине вылизанными, и их уже можно будет неопасаясь делать заказы на большие партии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

С IPv6 всё весьма скромно пока.

DHCPv6 snooping & relay отсутствует

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent а что за свитчи такие интересные ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent можете опубликовать цены на них? очень интересна цена на 1ый (8 rj45 + 2 sfp)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в личку скинул

 

p.s. в первую очередь тоже 8+2 интересовались, когда 3010g пропали из продаж. в итоге идеально подошли.

Изменено пользователем darkagent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в личку скинул

 

p.s. в первую очередь тоже 8+2 интересовались, когда 3010g пропали из продаж. в итоге идеально подошли.

А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

при том что чипсет и у руби и у cl от vitesse, на cl он посвежее напорядок. хронических и непредсказуемых подвисаний аля рубик - нет.

used catalist конечно хорошо, но не забывайте, что конденсаторы не вечны - кто его знает сколько оно б/у, может там до тотального высыхания считаные дни остались. сидеть с паяльником лопатить партии used - оно того не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня сложилось стойкое впечатление, что нас убеждают купить, конечно занедорого, продукцию китайских братьев, и как минимум быть бесплатными бетатестерами :) обычна в компаниях нанимают специально обученных людей - бетатестеров, денег им выплачивают, ну и все такое. а тут выходит, и девайс купи, и бетатестером в большинстве случаев поработай. -))

 

ну, кстати, и гиганты типа циски такое себе позволяют. продадут конторе партию новых железок, и отлаживают на ней софт. но так за это ж в итоге циска и бонусы, и всякое бесплатное выдает. и конечно контор таких немного.

что наши китайские братья могут нам предложить?

 

зы

у циски на каталисты пожизненная гарантия. это типа вот сдох - отнес, и выдали тебе новый.

Изменено пользователем dm--

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

при том что чипсет и у руби и у cl от vitesse, на cl он посвежее напорядок. хронических и непредсказуемых подвисаний аля рубик - нет.

used catalist конечно хорошо, но не забывайте, что конденсаторы не вечны - кто его знает сколько оно б/у, может там до тотального высыхания считаные дни остались. сидеть с паяльником лопатить партии used - оно того не стоит.

Последние прошивки от Вимкома решают все известные мне проблемы с RubyTech-ом, правда у нас их всего десяток.

Used catalist, ну похоже нам везёт, пока ничего перепаивать не пришлось. :)

Китайцам, ИМХО, стоит подумать об альтернативе DIR-100F с гигабитным SFP, баксов за 35..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последние прошивки от Вимкома решают все известные мне проблемы с RubyTech-ом, правда у нас их всего десяток.

Used catalist, ну похоже нам везёт, пока ничего перепаивать не пришлось. :)

Китайцам, ИМХО, стоит подумать об альтернативе DIR-100F с гигабитным SFP, баксов за 35..

прошивки не решают аппаратных багов ;) vitesse все таки проделал неплохую работу по части улучшения качества своих чипов. уровень не циско конечно, но все же прогресс имеется.

DIR-100/F со слов Демина очень скоро "закончатся". да и управляемость у них очень ограниченная (банально нет snmp).

Бюджетные 4-5 портовки с SFP аплинком действительно были б очень востребованны - в том же частном секторе. Но тут пока приемлемого конкурента 100f еще не встречал. Видимо спрос все же не такой большой.

А живучесть каталистов конечно завидная, но береженого бог бережет. Все таки конденсаторы они и в африке конденсаторы.

у циски на каталисты пожизненная гарантия. это типа вот сдох - отнес, и выдали тебе новый.
это если вы конкретно эту железку покупали у них по контракту. с перекупками б\у вас отправят изучать бескрайние просторы наших лесов.
у меня сложилось стойкое впечатление, что нас убеждают купить, конечно занедорого, продукцию китайских братьев
ммм нет. хоть это и очень похоже, но нет. лично мне с этого выгоды никакой абсолютно. разве что массовый спрос может ускорить появление русскоязычного официального саппорт-офиса, правда в этом случае можно получить и обратный эффект - удорожание продукции.

я просто привел конкретный пример - не побоялся взять, опробовал, и остался доволен.

 

хотя да, от первоначального вопроса темы ушли мы далеко и надолго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хотя да, от первоначального вопроса темы ушли мы далеко и надолго.

ну вот, я смотрю, люди знающие собрались. может кто натыкался на железо, в datasheet'е или user guide'е свежих прошивок которого хотя бы заявлены данные функции и их работоспособность или даже возможность настройки.

 

я пока что-то обещающее нормальный IPv6 в L2 доступа видел у Huawei S2326TP-EI-AC за ~$315. и у Netgear в FSM726-300 (цена таже, кстати) заявлена поддержка MLD, а в во всех прошивках 8.0 и более - весь набор для IPv6 (L3 ихний те же ответвления прошивок использует, и guide у них один на всех), но о том, как там на самом деле - продажники с их сайта молчат как партизаны :\

 

ну и, надеюсь, наговцы не забудут поделиться радостными новостями о прогрессе допиливания творений с их именем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть ряд данных, предлагаемых к осмыслению.

возьмем за пример обычную такую 3750, ну, от этой самой, цыцки.

итак

 

все то что можно запихать в TCAM. ну, чтобы железно все коммутировалось.

 

ipv4:

IPv4 unicast indirectly-connected routes: 1040/8320

 

 

а в ipv6+v4:

IPv4 unicast indirectly-connected routes: 176/1408

-----

IPv6 unicast indirectly-connected routes: 262/2096

 

 

ресурсы коммутаторов сильно приседают при использовании ipv6, ну, это и понятно.

 

меня мучают смутные сомнения, китайские братья хоть какую то подобную информацию предоставить могут? как же будет хорошо какому нибуть рубитеку при включении v6 ?

 

уважаемые собеседники. есть предложение делиться конкретными примерами по реализации задач топикстартера. а не предложениями о выступлении бесплатными бетатестерами.

 

зы

данные приведены для режима работы 3750 в режиме routing, т.е. L3

 

 

вывод то в чем, пока китайцы чего то сделают приличное, некоторые вендоры реализуют вполне грамотно и за обычные деньги. ну, может чуть дороже

Изменено пользователем dm--

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошее сомнение, если учесть, что рубитеки - L2 и L2+ устройства 8-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в L3 тех же Dell, Netgear и Huawei, похоже, тоже ~220 маршрутов IPv6 максимум, а то и меньше. благо в IPv6-сетях и аггрегирование маршрутов должно быть лучше, да и switchboard'ы все тянут почти из одних и тех же мест. ещё бы парочка неленивых грамотных китайцев или индусов написала такие же грамотные прошивки.

 

с L2 всё ведь должно быть проще - есть TCAM для IPv6 ACL ? должна быть и возможность всего остального требуемого. тут даже китайца, способного реализовать протоколы маршрутизации, не надо, да и это итак уже заявлено программно и аппаратно в их же L3... но кому нафиг это нужно в L3 ?

 

кстати, за примеры доступного (не по пол-мильйона) IPv6 HW-capable L3 тоже не обижусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipv6 hw-capable l3:

из бюджетного - dlink dgs-36xx - в 3й ревизии софта для 3612/3627 обещают уделить не мало внимания ipv6, при том что уже сейчас в нем есть все необходимое.

с кошками ipv6/l3 сложнее - на "бюджетных" железках сильный дефицит ткама, из-за чего проектировать ipv6 нужно чуть ли не с максимальной детализацией проработки.

приятно удивлен был работе ipv6 в 480м экстриме - почти весь функционал l3/ipv4 дублируется для l3/ipv6. есть tunnel 6to4. хотя это уже явно не бюджетная железка.

с маршрутами для ipv6 все несколько интереснее чем в ipv4. тут само понимание уже другое - идеология иерархической маршрутизации (RFC2374) сама по себе значительно сокращает требования к таблицам маршрутизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насчёт L3 я тоже посматривал на Cisco и Extreme Summit. да, вкусно, но дорого. а на D-Link смотреть тошно :(

и волнует не столько количество маршрутов, сколько само наличие OSPFv3 и возможность впихнуть 10GE. ну не RIPng же маршрутизировать новомодную сеть? а некоторые вон впихнут вместе с OSPFv3 и MBGP4, цену умножат в несколько раз и какбы намекают, мол, это уже не gateway для подсетей делать - это на border, если вы такие бедные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipv6 hw-capable l3:

То есть у Вас carelink работает с opt82+dhcp snooping, я правильно понял?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.