Jump to content
Калькуляторы

Коммутаторы доступа для IPv6-сетей 802.1x, DHCPv6 snooping & relay, HW ACL, ICMPv6

вот есть у НАГа такая интересная штукенция - SNR-S2960-24G. и про неё написано мол "Hardware support for IPv6 source/destination/TCP/UDP/protocol based ACL" и "Hardware support DHCP snooping", но всё равно не ясно - можно ли её использовать на доступе IPv6-сети.

а конкретно (если кто знает - просветите), значит ли это, что:

1) DHCPv6 snooping & relay работает ?

2) можно запилить RA с пользовательских портов без ущерба для скорости коммутации ?

3) можно разрешить пользовательскому оборудованию иметь stateless и link-local адреса, несмотря на блокирование на порту посредством ip source guard адресов "внешних", помимо выданного по dhcp для этого оборудования (проще говоря, иметь 3 IPv6 адреса: statefull, stateless, link-local) ? или же он, при включённом ip source guard на порту, просто будет блокировать всё с source-адресами, не из ответа DHCPv6, не смотря на глобальные правила ACL, разрещающие пакеты с source с определёнными prefix'ами ?

4) коммутатор умеет ICMPv6, и, _важно_ - MLD ?

ещё не ясно - почто при всём этом счастье нет SNMPv3 ? хотя это не так важно

 

ну и если кто знает/может посоветовать L2 коммутаторы доступа, на которых это всё поддерживается, не стесняйтесь написать. очень интересно.

Share this post


Link to post
Share on other sites

Не хочу опорочить коммутатор, который в руках не держал, но подержав за прошедший год штук 10 разных коммутаторов, завещаю не верить и проверять. Уж сколько раз у китайцев было написано все красиво, а работало через попу и только 20-30% всего функционала.

Edited by passer

Share this post


Link to post
Share on other sites
Уж сколько раз у китайцев
через пару лет китайцы уделают всех передовиков по части железок.

сам раньше скептически относился к китайской промышленности, но то, что вижу сейчас - вселяет нехилый заряд оптимизма.

во-первых, китайцы учатся работать с клиентами - да, тех.поддержки от производителей в нашей стране как таковой нет - в лучшем случае один два переводчика у компании-поставщика, которые играют в "сломаный телефон" переводя ваши багрепорты на английский или китайский и отправляя производителю, но даже в такой ситуации люди научились работать очень оперативно.

во-вторых, постепенно повышается качество самой продукции. если раньше железки страшно было в розетку втыкать - могло и 220 по корпусу пустить, а в худшем случае и на столе рвануть, то сейчас при вскрытии некоторых представителей оной продукции, глаза радуются качественной спайке элементов, продуманному охлаждению и т.п.

поверьте - это не пустой звук. на своей шкуре испытал развитие китайской промышленности от схем, где олово накладывали утюгами, до аккуратных решений, где и с микроскопом придраться не к чему. тоже касается и софта - китай очень быстро начал реагировать на багрепорты, начали учитывать предложения и пожелания.

активно используем продукцию одного достаточно недорогого производителя, последние багрепорты по продукции были отправлены с неделю назад, ну может чуток больше (потерял счет дней из-за 8го марта), и вчера уже получил свежий софт, в котором учли мои багрепорты, мои пожелания, багрепорты и пожелания других клиентов.

что то мне подсказывает, что если китайская продукция получит массовое распространение в нашей стране, то мы скоро увидим, помимо поставщиков, офисы сервисного обслуживания, и службы технического сопровождения.

Edited by darkagent

Share this post


Link to post
Share on other sites

2 darkagent - твои слова да китайцам в уши )))

Share this post


Link to post
Share on other sites

в компетенции широкого круга китайцев я не сомневаюсь, хотя тоже приходилось подержать в руках невнятного говна с набранной на кривом английском инструкцией. тут вопрос не в совестливости китайцев как народа, а в том, что же такое к нам НАГ привозит, и как оно на самом деле работает. вот и прошу пояснений. не за свои же деньги проверять. вероятно многие считают так же и не затариваются этим.

 

но фиг с ним, SNR. интересны вообще все железки с указанным функционалом (заявленным и/или присутствующим), от любых производителей плат, под любыми марками и в широком диапазоне цен. хотя с ценами в ~40к за штуку такой найти не сложно... но кого жаба не задушит и инвестор не утопит такой доступ покупать ?

Share this post


Link to post
Share on other sites

darkagent Согласен, они могут делать и делают. Только это не всегда получается или не всегда до них доносят. Сейчас у меня на столе лежат свитчи, по внешнему виду 1:1 DCN. Только надпись тем же шрифтом сделана другая. С ноября пинаю продавца, а он китайцев, и не могут реализовать dhcp relay с опцией 82.

И в нем заявлена полная поддержка IPv6 судя по доке, вроде все что вы, Virtuous, спрашиваете. Но при текущих проблемах с ipv4 даже замахиваться на ту часть функционала не стал.

Edited by passer

Share this post


Link to post
Share on other sites

darkagent

Я бы опасался бакфиксов, написанных за неделю.

Сетевое железо - продукт, который все-таки посложнее кофеварки. И ПО должно проходить процедуру тестирования перед тем, как его доставляют вам.

А, судя по вашему комментарию, вы рады тому, что являетесь бета-тестером для китайцев. :)

Share this post


Link to post
Share on other sites
darkagent

Я бы опасался бакфиксов, написанных за неделю.

Сетевое железо - продукт, который все-таки посложнее кофеварки. И ПО должно проходить процедуру тестирования перед тем, как его доставляют вам.

А, судя по вашему комментарию, вы рады тому, что являетесь бета-тестером для китайцев. :)

когда мы брали товар на пробу (прям как про кокаин говорим :D), у нас уже был "необходимый минимум", и китайские железки как нистранно по всем пунктам "минимума" отработали из коробки без нареканий. а вот к огда уже захотелось чего то большего, тогда и появилась тенденция к бетатестингу и вылизыванию железа. нашими (и не только) усилиями, железки уровня web-smart можно сказать превратились в полнофункциональный l2 доступ с блекджеком и шлюхами. более того - характер отмеченых багфиксов практически не затрагивает основной функционал. например dhcp-relay, qos, и mvr у нас завелся из коробки. четверть багфиксов - узкоспецифичные - например относительно 802.1х (вы им пользуетесь?) и vlan-stacking (да да, qinq), или может power saving вам очень важен? приличная часть конечно же затрагивает snmp функционал - где мибы поправить, где какие oid некорректно отрабатывают, где то просто что то интересно добавят (ddmi function by snmp interface). еще пара месяцев такой интенсивной работы, и железки будут поистине вылизанными, и их уже можно будет неопасаясь делать заказы на большие партии.

Share this post


Link to post
Share on other sites

 

С IPv6 всё весьма скромно пока.

DHCPv6 snooping & relay отсутствует

Share this post


Link to post
Share on other sites

darkagent а что за свитчи такие интересные ?

Share this post


Link to post
Share on other sites

darkagent можете опубликовать цены на них? очень интересна цена на 1ый (8 rj45 + 2 sfp)

 

Share this post


Link to post
Share on other sites

в личку скинул

 

p.s. в первую очередь тоже 8+2 интересовались, когда 3010g пропали из продаж. в итоге идеально подошли.

Edited by darkagent

Share this post


Link to post
Share on other sites
в личку скинул

 

p.s. в первую очередь тоже 8+2 интересовались, когда 3010g пропали из продаж. в итоге идеально подошли.

А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

 

Share this post


Link to post
Share on other sites
А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

при том что чипсет и у руби и у cl от vitesse, на cl он посвежее напорядок. хронических и непредсказуемых подвисаний аля рубик - нет.

used catalist конечно хорошо, но не забывайте, что конденсаторы не вечны - кто его знает сколько оно б/у, может там до тотального высыхания считаные дни остались. сидеть с паяльником лопатить партии used - оно того не стоит.

Share this post


Link to post
Share on other sites

у меня сложилось стойкое впечатление, что нас убеждают купить, конечно занедорого, продукцию китайских братьев, и как минимум быть бесплатными бетатестерами :) обычна в компаниях нанимают специально обученных людей - бетатестеров, денег им выплачивают, ну и все такое. а тут выходит, и девайс купи, и бетатестером в большинстве случаев поработай. -))

 

ну, кстати, и гиганты типа циски такое себе позволяют. продадут конторе партию новых железок, и отлаживают на ней софт. но так за это ж в итоге циска и бонусы, и всякое бесплатное выдает. и конечно контор таких немного.

что наши китайские братья могут нам предложить?

 

зы

у циски на каталисты пожизненная гарантия. это типа вот сдох - отнес, и выдали тебе новый.

Edited by dm--

Share this post


Link to post
Share on other sites
А чем он лучше RubyTech ES-2310?

И уж точно хуже used catalist-а от НАГ-а.

при том что чипсет и у руби и у cl от vitesse, на cl он посвежее напорядок. хронических и непредсказуемых подвисаний аля рубик - нет.

used catalist конечно хорошо, но не забывайте, что конденсаторы не вечны - кто его знает сколько оно б/у, может там до тотального высыхания считаные дни остались. сидеть с паяльником лопатить партии used - оно того не стоит.

Последние прошивки от Вимкома решают все известные мне проблемы с RubyTech-ом, правда у нас их всего десяток.

Used catalist, ну похоже нам везёт, пока ничего перепаивать не пришлось. :)

Китайцам, ИМХО, стоит подумать об альтернативе DIR-100F с гигабитным SFP, баксов за 35..

Share this post


Link to post
Share on other sites
Последние прошивки от Вимкома решают все известные мне проблемы с RubyTech-ом, правда у нас их всего десяток.

Used catalist, ну похоже нам везёт, пока ничего перепаивать не пришлось. :)

Китайцам, ИМХО, стоит подумать об альтернативе DIR-100F с гигабитным SFP, баксов за 35..

прошивки не решают аппаратных багов ;) vitesse все таки проделал неплохую работу по части улучшения качества своих чипов. уровень не циско конечно, но все же прогресс имеется.

DIR-100/F со слов Демина очень скоро "закончатся". да и управляемость у них очень ограниченная (банально нет snmp).

Бюджетные 4-5 портовки с SFP аплинком действительно были б очень востребованны - в том же частном секторе. Но тут пока приемлемого конкурента 100f еще не встречал. Видимо спрос все же не такой большой.

А живучесть каталистов конечно завидная, но береженого бог бережет. Все таки конденсаторы они и в африке конденсаторы.

у циски на каталисты пожизненная гарантия. это типа вот сдох - отнес, и выдали тебе новый.
это если вы конкретно эту железку покупали у них по контракту. с перекупками б\у вас отправят изучать бескрайние просторы наших лесов.
у меня сложилось стойкое впечатление, что нас убеждают купить, конечно занедорого, продукцию китайских братьев
ммм нет. хоть это и очень похоже, но нет. лично мне с этого выгоды никакой абсолютно. разве что массовый спрос может ускорить появление русскоязычного официального саппорт-офиса, правда в этом случае можно получить и обратный эффект - удорожание продукции.

я просто привел конкретный пример - не побоялся взять, опробовал, и остался доволен.

 

хотя да, от первоначального вопроса темы ушли мы далеко и надолго.

Share this post


Link to post
Share on other sites
хотя да, от первоначального вопроса темы ушли мы далеко и надолго.

ну вот, я смотрю, люди знающие собрались. может кто натыкался на железо, в datasheet'е или user guide'е свежих прошивок которого хотя бы заявлены данные функции и их работоспособность или даже возможность настройки.

 

я пока что-то обещающее нормальный IPv6 в L2 доступа видел у Huawei S2326TP-EI-AC за ~$315. и у Netgear в FSM726-300 (цена таже, кстати) заявлена поддержка MLD, а в во всех прошивках 8.0 и более - весь набор для IPv6 (L3 ихний те же ответвления прошивок использует, и guide у них один на всех), но о том, как там на самом деле - продажники с их сайта молчат как партизаны :\

 

ну и, надеюсь, наговцы не забудут поделиться радостными новостями о прогрессе допиливания творений с их именем.

Share this post


Link to post
Share on other sites

есть ряд данных, предлагаемых к осмыслению.

возьмем за пример обычную такую 3750, ну, от этой самой, цыцки.

итак

 

все то что можно запихать в TCAM. ну, чтобы железно все коммутировалось.

 

ipv4:

IPv4 unicast indirectly-connected routes: 1040/8320

 

 

а в ipv6+v4:

IPv4 unicast indirectly-connected routes: 176/1408

-----

IPv6 unicast indirectly-connected routes: 262/2096

 

 

ресурсы коммутаторов сильно приседают при использовании ipv6, ну, это и понятно.

 

меня мучают смутные сомнения, китайские братья хоть какую то подобную информацию предоставить могут? как же будет хорошо какому нибуть рубитеку при включении v6 ?

 

уважаемые собеседники. есть предложение делиться конкретными примерами по реализации задач топикстартера. а не предложениями о выступлении бесплатными бетатестерами.

 

зы

данные приведены для режима работы 3750 в режиме routing, т.е. L3

 

 

вывод то в чем, пока китайцы чего то сделают приличное, некоторые вендоры реализуют вполне грамотно и за обычные деньги. ну, может чуть дороже

Edited by dm--

Share this post


Link to post
Share on other sites

Хорошее сомнение, если учесть, что рубитеки - L2 и L2+ устройства 8-)

Share this post


Link to post
Share on other sites

в L3 тех же Dell, Netgear и Huawei, похоже, тоже ~220 маршрутов IPv6 максимум, а то и меньше. благо в IPv6-сетях и аггрегирование маршрутов должно быть лучше, да и switchboard'ы все тянут почти из одних и тех же мест. ещё бы парочка неленивых грамотных китайцев или индусов написала такие же грамотные прошивки.

 

с L2 всё ведь должно быть проще - есть TCAM для IPv6 ACL ? должна быть и возможность всего остального требуемого. тут даже китайца, способного реализовать протоколы маршрутизации, не надо, да и это итак уже заявлено программно и аппаратно в их же L3... но кому нафиг это нужно в L3 ?

 

кстати, за примеры доступного (не по пол-мильйона) IPv6 HW-capable L3 тоже не обижусь.

Share this post


Link to post
Share on other sites

ipv6 hw-capable l3:

из бюджетного - dlink dgs-36xx - в 3й ревизии софта для 3612/3627 обещают уделить не мало внимания ipv6, при том что уже сейчас в нем есть все необходимое.

с кошками ipv6/l3 сложнее - на "бюджетных" железках сильный дефицит ткама, из-за чего проектировать ipv6 нужно чуть ли не с максимальной детализацией проработки.

приятно удивлен был работе ipv6 в 480м экстриме - почти весь функционал l3/ipv4 дублируется для l3/ipv6. есть tunnel 6to4. хотя это уже явно не бюджетная железка.

с маршрутами для ipv6 все несколько интереснее чем в ipv4. тут само понимание уже другое - идеология иерархической маршрутизации (RFC2374) сама по себе значительно сокращает требования к таблицам маршрутизации.

Share this post


Link to post
Share on other sites

насчёт L3 я тоже посматривал на Cisco и Extreme Summit. да, вкусно, но дорого. а на D-Link смотреть тошно :(

и волнует не столько количество маршрутов, сколько само наличие OSPFv3 и возможность впихнуть 10GE. ну не RIPng же маршрутизировать новомодную сеть? а некоторые вон впихнут вместе с OSPFv3 и MBGP4, цену умножат в несколько раз и какбы намекают, мол, это уже не gateway для подсетей делать - это на border, если вы такие бедные.

Share this post


Link to post
Share on other sites
ipv6 hw-capable l3:

То есть у Вас carelink работает с opt82+dhcp snooping, я правильно понял?

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this