Перейти к содержимому
Калькуляторы

DLink окончательно задолбал. Подскажите альтернативу...

Здравствуйте. Суть проблемы в следующем: имеется пара сотен свичей доступа. Практически все - DLink 3550/3526 (когда все это затевалось жутко экономили и видимо зря). На многих из этих коммутаторов реализована привязка port-ip. Т.е. на каждом рабочем месте разрешен только свой IP. Сделано это при помощи ACL по содержимому пакета. Вот примерно так:

 

# Разрешить фреймы 0x0806 с исход. разрешенным ip на 3 порту (0x0806 - ARP)
# cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6
# co access profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A0A 0x0 0x0 0x0 port 3 permit
#
# Разрешить фреймы 0x0800 с исход. разрешенным ip на 3 порту (0x0800 - IPv4)
# cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7
# co access profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A0A0000 0x0 0x0 0x0 port 3 permit
#
# Запретить все остальные фреймы
# create access packet offset_0-15 0x0 0x0 0x0 0x0 profile_id 8
# config access profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny

 

Правила генерируются автоматически скриптом из базы и заливаются так же автоматически на свичи. Для аплинков и роутеров правила не задаются.

 

Но эти длинк железки при всех своих достоинствах имеют один громадный недостаток - они дохнут пачками постоянно. Сначала мы запарились менять на них блоки питания и перепаивать на них кондеры. Лежит штук пять резервных - их меняют уже с закрытыми глазами. Потом они начали дохнуть по второму кругу - кондеры стабилизатора на основной плате и полевики. Ремонтник наш их тоже уже с закрытыми глазами перепаивает. Теперь новая напасть - при загрузке высыпается в ошибку, пишет трейс в консоли и затихает. Таких уже с десяток. Свичи живут в нормальных условиях - температура, влажность в порядке. Кстати у нас до сих пор работает пара DES-3624 и ничего им не делается - делали же блин раньше.

 

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на зюхели не смотрели? правда мы их в таком качестве не пользовали, но проблем с ними не испытываем, а длинк был всего 1 и тот на тестировании, сняли и вернули обратно после 2-х раз когда он наглушняк завис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное.

Изменено пользователем Gunner

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Gunner, у автора целых 200 штук этих свичей, и видать 2 свича в день это слишком большая нагрузка для мозга и рук. И походу дела возить свичи в сервис раз в неделю это тоже слишком трудно.

Просто отстаньте от человека, пусть купит зуксель, получит новую, свежую, неизученную ранее порнуху. Он забудет, что такое длинк. Этого ему на годик хватит.

Потом edge-core предложим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может с питанием что не так?

У нас >800 таких железок.

И меняем после перепайки не так уж и часто, ну может раз в неделю меняем 1 свич.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, проблема у автора топика явно. у нас 5тыс железок (3526/3550/3028/3052/3552/3200) в сети и проблем особых нет.

может статика/грозы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски.

Безупречность кошек - такой же миф, как и глючность длинков. У определенной партии 3526 действительно есть проблемы с БП, но народ с этим успешно борется. И, как совершенно правильно заметили выше, пара сотен свичей - это совсем немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?

Как это не умеют? Даже самая примитивная линейка 2960 поддерживает простые ACL. Вот только не уверен - версия lan lite или lan base. Но одна из них - точно умеет фильтровать по источнику. Загрузку правил скриптом лего осуществлять по ssh: к каждому порту привязываешь ACL с номером порта, а потом скриптом эти ACL меняешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3550 и 3526 наглухо вылизанные по софту свичи делают свою работу на ура.Заменить 3 кондера в БП дело минутное.

 

Требования к бесперебойности работы довольно высокие, каждый такой случай отсутствия связи больше часа это серьезные проблемы с начальством. Свичи на замену вдруг резко кончились по причине массового падежа без возможности восстановления. Покупка новых в госорганизации с конкурсом занимает дикое количество времени. Блоки питания практически на всех этих железках перепаяны и заменены (меняют на месте). Если бы вы внимательно читали мое сообщение, вы бы заметили, что дело уже не в 3 конденсаторах блока питания. Тут уже дохнут в массовом порядке стабилизаторы на мат.плате (опухают кондеры и следом за ними летят ключи и собственно сам стабилизатор). Это все заменить и перепаять уже не минутное дело (при наличии запчастей конечно). Но с этим тоже справлялись до поры до времени пока не началась новая напасть - свитч при запуске ругается на ошибку инициализации bcm:

 

_bcm_sdk_init() Number 5

CP0 REGISTERS:
BadVAddr: 0x00000000  Status: 0x00000000  Cause: 0x00000000
EPC: 0x00000000  PRID: 0x00000000

REGISTERS:
r0: 0x00000000  r1: 0x00000000  r2: 0x00000000  r3: 0x00000000
r4: 0x00000000  r5: 0x00000000  r6: 0x00000000  r7: 0x00000000
r8: 0x00000000  r9: 0x00000000  r10: 0x00000000  r11: 0x00000000
r12: 0x00000000  r13: 0x00000000  r14: 0x00000000  r15: 0x00000000
r16: 0x00000000  r17: 0x00000000  r18: 0x00000000  r19: 0x00000000
r20: 0x00000000  r21: 0x00000000  r22: 0x00000000  r23: 0x00000000
r24: 0x00000000  r25: 0x00000000  r26: 0x00000000  r27: 0x00000000
r28(gp): 0x00000000  r29(sp): 0x00000000  r30(fp): 0x00000000  r31(ra): 0x00000000
!! System in EXCEPTION MODE !!!
PAUSE System Exception:
  Pause source code     : 5
  Current Task: STARTUP
  Current Stack Pointer : 8170ACB0

 

Перепрошивка не помогает. Проблема судя по тенденции будет массовой. Решению не поддается. Неживые судя по трейсу bcm5646 купить и перекатать не представляется возможным (Или может кто знает место где их купить можно ?). Поскольку свичи эти уже раза по 3 чинились нашим сервисником - в сервисе длинка нас пошлют, либо ремонт будет стоить как новый свитч. Покупать новые той же фирмы как-то желание отпало. Совсем... Или кто-то считает всего вышеперечисленного для этого недостаточно ?

 

Цисок кстати в сетке имеется где-то пару десятков. Не дохли НИ РАЗУ (это к вопросу о мифах). Самой старой лет 5. Имеются также экстримы 3 уровня - проблема только с одним была (выгорели оба гигабитных порта). Про глюки БП _определенной партии_ сказки можете рассказывать в другом месте - у нас проблемы одинаковые как с 3526 так и с 3550. Причем как на старых с коричневыми мордами, так и на новых с серебристыми. На них на всех БП одинаковые. Мы сдохший БП уже за проблему не считаем - тупо меняется на запасной на месте. Электросеть - как у всех (скачет и прыгает).

 

P.S. Я так и предполагал, что тут же налетят любители DLink и закидают меня какашками. Неужели нельзя либо промолчать либо ответить по сути вопроса ? Нет альтернативы - значит будем дальше жевать кактус :( Может новый (DES-3552) окажется не таким колючим.

 

P.P.S. Написал ответ и увидел последнее сообщение. Я возможно невнимательно читал доки к циске. Не подскажете синтаксис команды на 2960, с помощью которой можно разрешить рабочей станции, подключенной к порту на этой циске отсылать ethernet фрейм 0x806 (arp) только с определенным ip-полем отправителя (политика "все запрещено", разрешено только то, что можно)?

 

P.P.P.S. По софту если что меня длинки устраивают на 110%. Тем более, что разработчики на критику и предложения довольно живо реагируют. Нашел я в коде бэкдор пароли - отослал гневное письмо разработчикам - убрали (и довольно шустро). Пожаловался на то, что свитч на вебморде пишет свою модель и что это небезопасно - убрали. Попросил добавить настраиваемое приглашение в telnet - сделали. Правда возможность создавать несколько ip-интерфейсов (без маршрутизации) так и не добавили (фича уже есть в коде, надо только 1 бит подправить). А вот железо... :((( Эх...

Изменено пользователем Regressor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а сколько лет длинкам?

у меня 2 года полет отличный 3526, счас ставим 3200-26 вполне устраивает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашим от 4 лет до года.... Равномерно по возрасту размазаны....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Суть проблемы в следующем: имеется пара сотен свичей доступа.

 

если под свичами доступа понимаются офисные свичи в конторе, в которые воткнуты сотрудники, то переход на циску 2950/60 очень логичен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

переход на циску 2950/60 очень логичен

имеет смысл оперировать более свежим железом - me2400 например ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас с вашими проблемами свичей вроде не было замечено.

Только БП, ну иногда редко выгорают по 1 порту.

У всех остальных на форуме -тоже, хотя количество свичей много больше чем у Вас.

Рас госорганизация -то и флаг в руки -там бюджеты должны быть на кошки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

me2400

 

Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если дизайн сети позволяет - советую присмотреться к 3028, за 3 года работы у нас был только 1 случай выгорания по железу - ПоЕ воткнули в аплинк.

DES-3200 не советую в виду неадекватности выгорания неиспользуемых портов на них с последующей петлёй на этих портах.

3528/3552 - хз, у нас работает 10 штук, проблем пока нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычный ACL умеет только ip протоколы резать

http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_9_ea1/configuration/guide/swacl.html

 

что мешает сделать например так:

ip access-list ext 111

permit ip host 10.11.22.33 any

- разрешит только ip протокол от хоста, все остальне вырежет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что мешает сделать например так:

ip access-list ext 111

permit ip host 10.11.22.33 any

- разрешит только ip протокол от хоста, все остальне вырежет.

 

Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец.

Изменено пользователем Regressor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

первый же arp-вирус устроит в этом сегменте тотальный трындец.

Не драматизируйте. Мы например ARP начали резать меньше года назад.

До этого как то жили и проблем с арп вирусами я вообще ни одной не помню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило.

VLAN-per-user ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

me2400

 

Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили.

 

посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию

+

ip arp inspection limit rate - ограничите кол-во arp запрсов

IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер

и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information )

что вам еще надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну да, если это госконтора и наших с вами налогов не жалко - то 3400 на доступ...Вместо правильной организации сети....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите что умеет cisco me3400 в разрезе UNI портов - там вообще очень много чего режется по умолчанию

+

ip arp inspection limit rate - ограничите кол-во arp запрсов

IP Source Guard - позволите клиенту выходить в сеть только с тем IP что дал ваш DHCP сервер

и чтобы клиент не влепил себе МАС адрес шлюза повесьте mac acl (MAC extended access lists using source and destination MAC addresses and optional protocol type information )

что вам еще надо?

 

Дак яж написал что именно надо. Надо очень простого - адреса статикой, vlan-per-user не подходит, арпы фильтровать, ip фильтровать. Мне как-то не улыбается уже имеющуюся неплохо работающую систему перекраивать под новое ограниченное железо. Я ищу железо, подходящее под мои требования. С эпидемиями арп-вируса сталкивались трижды. Пользователи в сегменте с больной машиной работать нормально не могли, пока ее не блокировали. Тогда я сел и написал скрипт, забивающий фильтры в свичи. Больше таких проблем не было. IP Source Guard вообще говоря блокирует только ip трафик. Кстати циска умеет резать всякие ipx-ы кроме фреймов 0x800 и 0x806 (mac acl).

 

Ладно, я уже понял, что ничего похожего нету. Будем дальше грызть кактус...

 

P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ?

Изменено пользователем Regressor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так все ваши проблемы - от неправильной организации сети. И с костылями, которые вы используете, вы намаетесь при смене оборудования.

Перевод сети на Л3 с vlan-per-user (со статикой) решает все перечисленные проблемы, после этого у вас к оборудованию доступа остается единственное требование - длительная бесперебойная работа, для уменьшения числе случаев ремонта. Всё остальное решается на уровне агрегации/терминации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.