Jump to content
Калькуляторы
Acl vs IP-MAC-Port  

31 members have voted

  1. 1. Предпочитаю использовать:

    • IP-MAC-Port с DHCP Snooping
      13
    • Все просто, люблю ACL
      11
    • Cвой вариант
      4
    • Не использую
      2
    • Что такое Dlink?
      1


Vote. Dlink Acl vs IP-MAC-Port Кто что предпочитает

Все таки понять да и для общей статистики, ведь все решения по своему хороши, предлагаю небольшое голосование.

 

Заранее извиняюсь если уже такое когда-то было.

Share this post


Link to post
Share on other sites

IP-MAC-Port не вариант вообще

1) коллизии мака клиента нет в фдб привязки не будет клиент сидит кукует

2) клиент воткнул шнурок в свой ноут - как скоро ваш дшцп сервер ему выдаст ип ?

Edited by Gunner

Share this post


Link to post
Share on other sites

IP ACL + PCF ACL.

 

Автор голосования явно dhcp snooping-ом пользуется, судя по стилю описания вариантов?

Edited by vurd

Share this post


Link to post
Share on other sites

Меня просто слегка достали вот такие события:

Nov 28 09:19:16 192.168.40.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.64.141, MAC: 00-1D-7D-A4-21-18, Port: 5)

Nov 28 08:52:44 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex

Nov 28 08:53:23 192.168.40.22 INFO: Port 3 link down

Nov 28 08:53:26 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex

Nov 28 11:29:10 192.168.40.24 INFO: Port 5 link down

Nov 28 11:29:13 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex

Nov 28 11:29:15 192.168.40.24 INFO: Port 5 link down

Nov 28 11:29:18 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex

 

Nov 28 08:53:40 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.77.94, MAC: 00-1D-7D-01-7E-D4, Port: 3)

Nov 28 09:54:32 192.168.40.22 INFO: Port 5 link down

Nov 28 09:54:35 192.168.40.22 INFO: Port 5 link up, 100Mbps FULL duplex

Nov 28 09:56:42 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.12.25, MAC: 00-1B-22-01-5B-DF, Port: 5) {Это валидный нормальный ip, почему блокирован хз?}

 

И это сеть которая запущена в тестовом режиме, с 6 коммутаторами, из них в блокировку каждый день попадает порядка 5-8 портов.

Коммутаторы:

Device Type : DES-3200-10 Fast Ethernet Switch

Boot PROM Version : Build 1.00.B003

Firmware Version : Build 1.52.B009

Считаю это не нормальным поведением, но по итогу ведь у кого-то работает просто отлично, а кто-то мучается.

Если бы был хороший опыт программирования, давно нарисовал бы примерно такую схему:

центральная база с конфигами всех свичей, по датам и времени, раз в сутки или при изменении, вносятся правки в эти конфиги, скрипт который раз в 5 минут отслеживает дату изменения файла конфига и если тот изменился сливает конфиг со свича, проверяет изменения и производит синхронизацию локального конфига с конфигом на свиче, также скрипт раз в 1 минуту к примеру тем же zabbix отслеживает время uptime свича, и если оно меняется вливает туда в ram локальный актуальный конфиг.

 

Много букв, но слегка накипело, и это еще только начало чувствуется.

 

Другого более менее вменяемого решения пока не вижу, честно.

Также нуна парсилка на syslogod сервере логовов свичей, и все вот такие проблемные места выливаются в отдельные файлы, для актуализации данных.

Share this post


Link to post
Share on other sites

IPMb - набор костылей под различные версии windows и всевозможные кособокие dhcp стеки.

PCF + IP ACL - железно рабочее.

Share this post


Link to post
Share on other sites

дался вам этот влан пер юзер.

вот не пойму что в нем такого? зачем?

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

Share this post


Link to post
Share on other sites

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное.

а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети.

Share this post


Link to post
Share on other sites

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное.

а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети.

Ни от чего ваш VpU не избавляет, наоборот - заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах. VpU - это всего лишь одна из ступеней эволюции пионера в нормального оператора, аналогичная тому же pppoe, но вовсе не заключительная стадия этой эволюции. :)

И с каких это пор PCF+IP ACL стали софтовыми фичами? Это АППАРАТНЫЕ фичи подавляющего большинства выпускаемых сегодня в мире асиков. То, что не все вендоры в своих прошивках на 100% задействуют функционал асиков - это их личное сексуальное горе. Первым начал юзать pcf длинк, теперь это делают ежики и snr. И я не вижу причин, мешающих это делать каким-либо другим вендорам.

Share this post


Link to post
Share on other sites

дался вам этот влан пер юзер.

вот не пойму что в нем такого? зачем?

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

 

На случай дешманского доступа, когда на ближайшем узле что то по умнее собирает вланы и делает с ними.

 

 

 

Share this post


Link to post
Share on other sites

заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах

 

да ладно, можно вообще одинаковые вланы для пользователей сделать на всех домах(т.е. полностью одинаковая конфигурация везде, кроме интерфейса управления и мультикаст влана),

а тэг "дома" будет уникальным, итого 4к "домов". мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков?

а на брасе вообще создать унифицированную конфигурацию под всех пользователей с одним адресным пространством и авторизовать через captive portal, так что без разницы какие там порты, вланы и т.п.

Share this post


Link to post
Share on other sites
мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков?

 

Я тут в свободное время дописал поддержку: http://www.freebsd.o...r.cgi?pr=161908

Попозже ng_bridge хочу переписать, чтобы многопоточным был и тоже вланы понимал.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this