Jump to content
Калькуляторы

DLink окончательно задолбал. Подскажите альтернативу...

Здравствуйте. Суть проблемы в следующем: имеется пара сотен свичей доступа. Практически все - DLink 3550/3526 (когда все это затевалось жутко экономили и видимо зря). На многих из этих коммутаторов реализована привязка port-ip. Т.е. на каждом рабочем месте разрешен только свой IP. Сделано это при помощи ACL по содержимому пакета. Вот примерно так:

 

# Разрешить фреймы 0x0806 с исход. разрешенным ip на 3 порту (0x0806 - ARP)
# cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6
# co access profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A0A 0x0 0x0 0x0 port 3 permit
#
# Разрешить фреймы 0x0800 с исход. разрешенным ip на 3 порту (0x0800 - IPv4)
# cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7
# co access profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A0A0000 0x0 0x0 0x0 port 3 permit
#
# Запретить все остальные фреймы
# create access packet offset_0-15 0x0 0x0 0x0 0x0 profile_id 8
# config access profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny

 

Правила генерируются автоматически скриптом из базы и заливаются так же автоматически на свичи. Для аплинков и роутеров правила не задаются.

 

Но эти длинк железки при всех своих достоинствах имеют один громадный недостаток - они дохнут пачками постоянно. Сначала мы запарились менять на них блоки питания и перепаивать на них кондеры. Лежит штук пять резервных - их меняют уже с закрытыми глазами. Потом они начали дохнуть по второму кругу - кондеры стабилизатора на основной плате и полевики. Ремонтник наш их тоже уже с закрытыми глазами перепаивает. Теперь новая напасть - при загрузке высыпается в ошибку, пишет трейс в консоли и затихает. Таких уже с десяток. Свичи живут в нормальных условиях - температура, влажность в порядке. Кстати у нас до сих пор работает пара DES-3624 и ничего им не делается - делали же блин раньше.

 

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?

Share this post


Link to post
Share on other sites

на зюхели не смотрели? правда мы их в таком качестве не пользовали, но проблем с ними не испытываем, а длинк был всего 1 и тот на тестировании, сняли и вернули обратно после 2-х раз когда он наглушняк завис.

Share this post


Link to post
Share on other sites

3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное.

Edited by Gunner

Share this post


Link to post
Share on other sites

Gunner, у автора целых 200 штук этих свичей, и видать 2 свича в день это слишком большая нагрузка для мозга и рук. И походу дела возить свичи в сервис раз в неделю это тоже слишком трудно.

Просто отстаньте от человека, пусть купит зуксель, получит новую, свежую, неизученную ранее порнуху. Он забудет, что такое длинк. Этого ему на годик хватит.

Потом edge-core предложим...

Share this post


Link to post
Share on other sites

Может с питанием что не так?

У нас >800 таких железок.

И меняем после перепайки не так уж и часто, ну может раз в неделю меняем 1 свич.

Share this post


Link to post
Share on other sites

да, проблема у автора топика явно. у нас 5тыс железок (3526/3550/3028/3052/3552/3200) в сети и проблем особых нет.

может статика/грозы?

Share this post


Link to post
Share on other sites

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски.

Безупречность кошек - такой же миф, как и глючность длинков. У определенной партии 3526 действительно есть проблемы с БП, но народ с этим успешно борется. И, как совершенно правильно заметили выше, пара сотен свичей - это совсем немного.

Share this post


Link to post
Share on other sites

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?

Как это не умеют? Даже самая примитивная линейка 2960 поддерживает простые ACL. Вот только не уверен - версия lan lite или lan base. Но одна из них - точно умеет фильтровать по источнику. Загрузку правил скриптом лего осуществлять по ssh: к каждому порту привязываешь ACL с номером порта, а потом скриптом эти ACL меняешь.

Share this post


Link to post
Share on other sites

3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное.

 

Требования к бесперебойности работы довольно высокие, каждый такой случай отсутствия связи больше часа это серьезные проблемы с начальством. Свичи на замену вдруг резко кончились по причине массового падежа без возможности восстановления. Покупка новых в госорганизации с конкурсом занимает дикое количество времени. Блоки питания практически на всех этих железках перепаяны и заменены (меняют на месте). Если бы вы внимательно читали мое сообщение, вы бы заметили, что дело уже не в 3 конденсаторах блока питания. Тут уже дохнут в массовом порядке стабилизаторы на мат.плате (опухают кондеры и следом за ними летят ключи и собственно сам стабилизатор). Это все заменить и перепаять уже не минутное дело (при наличии запчастей конечно). Но с этим тоже справлялись до поры до времени пока не началась новая напасть - свитч при запуске ругается на ошибку инициализации bcm:

 

_bcm_sdk_init() Number 5

CP0 REGISTERS:
BadVAddr: 0x00000000  Status: 0x00000000  Cause: 0x00000000
EPC: 0x00000000  PRID: 0x00000000

REGISTERS:
r0: 0x00000000  r1: 0x00000000  r2: 0x00000000  r3: 0x00000000
r4: 0x00000000  r5: 0x00000000  r6: 0x00000000  r7: 0x00000000
r8: 0x00000000  r9: 0x00000000  r10: 0x00000000  r11: 0x00000000
r12: 0x00000000  r13: 0x00000000  r14: 0x00000000  r15: 0x00000000
r16: 0x00000000  r17: 0x00000000  r18: 0x00000000  r19: 0x00000000
r20: 0x00000000  r21: 0x00000000  r22: 0x00000000  r23: 0x00000000
r24: 0x00000000  r25: 0x00000000  r26: 0x00000000  r27: 0x00000000
r28(gp): 0x00000000  r29(sp): 0x00000000  r30(fp): 0x00000000  r31(ra): 0x00000000
!! System in EXCEPTION MODE !!!
PAUSE System Exception:
  Pause source code     : 5
  Current Task: STARTUP
  Current Stack Pointer : 8170ACB0

 

Перепрошивка не помогает. Проблема судя по тенденции будет массовой. Решению не поддается. Неживые судя по трейсу bcm5646 купить и перекатать не представляется возможным (Или может кто знает место где их купить можно ?). Поскольку свичи эти уже раза по 3 чинились нашим сервисником - в сервисе длинка нас пошлют, либо ремонт будет стоить как новый свитч. Покупать новые той же фирмы как-то желание отпало. Совсем... Или кто-то считает всего вышеперечисленного для этого недостаточно ?

 

Цисок кстати в сетке имеется где-то пару десятков. Не дохли НИ РАЗУ (это к вопросу о мифах). Самой старой лет 5. Имеются также экстримы 3 уровня - проблема только с одним была (выгорели оба гигабитных порта). Про глюки БП _определенной партии_ сказки можете рассказывать в другом месте - у нас проблемы одинаковые как с 3526 так и с 3550. Причем как на старых с коричневыми мордами, так и на новых с серебристыми. На них на всех БП одинаковые. Мы сдохший БП уже за проблему не считаем - тупо меняется на запасной на месте. Электросеть - как у всех (скачет и прыгает).

 

P.S. Я так и предполагал, что тут же налетят любители DLink и закидают меня какашками. Неужели нельзя либо промолчать либо ответить по сути вопроса ? Нет альтернативы - значит будем дальше жевать кактус :( Может новый (DES-3552) окажется не таким колючим.

 

P.P.S. Написал ответ и увидел последнее сообщение. Я возможно невнимательно читал доки к циске. Не подскажете синтаксис команды на 2960, с помощью которой можно разрешить рабочей станции, подключенной к порту на этой циске отсылать ethernet фрейм 0x806 (arp) только с определенным ip-полем отправителя (политика "все запрещено", разрешено только то, что можно)?

 

P.P.P.S. По софту если что меня длинки устраивают на 110%. Тем более, что разработчики на критику и предложения довольно живо реагируют. Нашел я в коде бэкдор пароли - отослал гневное письмо разработчикам - убрали (и довольно шустро). Пожаловался на то, что свитч на вебморде пишет свою модель и что это небезопасно - убрали. Попросил добавить настраиваемое приглашение в telnet - сделали. Правда возможность создавать несколько ip-интерфейсов (без маршрутизации) так и не добавили (фича уже есть в коде, надо только 1 бит подправить). А вот железо... :((( Эх...

Edited by Regressor

Share this post


Link to post
Share on other sites

а сколько лет длинкам?

у меня 2 года полет отличный 3526, счас ставим 3200-26 вполне устраивает

Share this post


Link to post
Share on other sites

Нашим от 4 лет до года.... Равномерно по возрасту размазаны....

Share this post


Link to post
Share on other sites

Суть проблемы в следующем: имеется пара сотен свичей доступа.

 

если под свичами доступа понимаются офисные свичи в конторе, в которые воткнуты сотрудники, то переход на циску 2950/60 очень логичен.

Share this post


Link to post
Share on other sites

переход на циску 2950/60 очень логичен

имеет смысл оперировать более свежим железом - me2400 например ;)

Share this post


Link to post
Share on other sites

У нас с вашими проблемами свичей вроде не было замечено.

Только БП, ну иногда редко выгорают по 1 порту.

У всех остальных на форуме -тоже, хотя количество свичей много больше чем у Вас.

Рас госорганизация -то и флаг в руки -там бюджеты должны быть на кошки.

Share this post


Link to post
Share on other sites

me2400

 

Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили.

Share this post


Link to post
Share on other sites

если дизайн сети позволяет - советую присмотреться к 3028, за 3 года работы у нас был только 1 случай выгорания по железу - ПоЕ воткнули в аплинк.

DES-3200 не советую в виду неадекватности выгорания неиспользуемых портов на них с последующей петлёй на этих портах.

3528/3552 - хз, у нас работает 10 штук, проблем пока нет.

Share this post


Link to post
Share on other sites

http://www.ciscoprice.ru/catalog/417/

эх, в 6 раз дороже DES-3526

 

либо б/у, но всего одна на складе

http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/06068.ME-2400-24TS-A

 

ЗЫ:

Размер таблицы MAC адресов 2048

Ну хотя бы не врут :D

Edited by pvl

Share this post


Link to post
Share on other sites

Обычный ACL умеет только ip протоколы резать

http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_9_ea1/configuration/guide/swacl.html

 

что мешает сделать например так:

ip access-list ext 111

permit ip host 10.11.22.33 any

- разрешит только ip протокол от хоста, все остальне вырежет.

Share this post


Link to post
Share on other sites

что мешает сделать например так:

ip access-list ext 111

permit ip host 10.11.22.33 any

- разрешит только ip протокол от хоста, все остальне вырежет.

 

Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец.

Edited by Regressor

Share this post


Link to post
Share on other sites
первый же arp-вирус устроит в этом сегменте тотальный трындец.

Не драматизируйте. Мы например ARP начали резать меньше года назад.

До этого как то жили и проблем с арп вирусами я вообще ни одной не помню.

Share this post


Link to post
Share on other sites
чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило.

VLAN-per-user ?

Share this post


Link to post
Share on other sites

me2400

 

Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили.

 

посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию

+

ip arp inspection limit rate - ограничите кол-во arp запрсов

IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер

и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information )

что вам еще надо?

Share this post


Link to post
Share on other sites

ну да, если это госконтора и наших с вами налогов не жалко - то 3400 на доступ...Вместо правильной организации сети....

Share this post


Link to post
Share on other sites

посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию

+

ip arp inspection limit rate - ограничите кол-во arp запрсов

IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер

и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information )

что вам еще надо?

 

Дак яж написал что именно надо. Надо очень простого - адреса статикой, vlan-per-user не подходит, арпы фильтровать, ip фильтровать. Мне как-то не улыбается уже имеющуюся неплохо работающую систему перекраивать под новое ограниченное железо. Я ищу железо, подходящее под мои требования. С эпидемиями арп-вируса сталкивались трижды. Пользователи в сегменте с больной машиной работать нормально не могли, пока ее не блокировали. Тогда я сел и написал скрипт, забивающий фильтры в свичи. Больше таких проблем не было. IP Source Guard вообще говоря блокирует только ip трафик. Кстати циска умеет резать всякие ipx-ы кроме фреймов 0x800 и 0x806 (mac acl).

 

Ладно, я уже понял, что ничего похожего нету. Будем дальше грызть кактус...

 

P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ?

Edited by Regressor

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this