Перейти к содержимому
Калькуляторы
Acl vs IP-MAC-Port  

31 пользователь проголосовал

  1. 1. Предпочитаю использовать:

    • IP-MAC-Port с DHCP Snooping
      13
    • Все просто, люблю ACL
      11
    • Cвой вариант
      4
    • Не использую
      2
    • Что такое Dlink?
      1


Vote. Dlink Acl vs IP-MAC-Port Кто что предпочитает

Все таки понять да и для общей статистики, ведь все решения по своему хороши, предлагаю небольшое голосование.

 

Заранее извиняюсь если уже такое когда-то было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP-MAC-Port не вариант вообще

1) коллизии мака клиента нет в фдб привязки не будет клиент сидит кукует

2) клиент воткнул шнурок в свой ноут - как скоро ваш дшцп сервер ему выдаст ип ?

Изменено пользователем Gunner

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP ACL + PCF ACL.

 

Автор голосования явно dhcp snooping-ом пользуется, судя по стилю описания вариантов?

Изменено пользователем vurd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня просто слегка достали вот такие события:

Nov 28 09:19:16 192.168.40.24 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.64.141, MAC: 00-1D-7D-A4-21-18, Port: 5)

Nov 28 08:52:44 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex

Nov 28 08:53:23 192.168.40.22 INFO: Port 3 link down

Nov 28 08:53:26 192.168.40.22 INFO: Port 3 link up, 100Mbps FULL duplex

Nov 28 11:29:10 192.168.40.24 INFO: Port 5 link down

Nov 28 11:29:13 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex

Nov 28 11:29:15 192.168.40.24 INFO: Port 5 link down

Nov 28 11:29:18 192.168.40.24 INFO: Port 5 link up, 100Mbps FULL duplex

 

Nov 28 08:53:40 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 169.254.77.94, MAC: 00-1D-7D-01-7E-D4, Port: 3)

Nov 28 09:54:32 192.168.40.22 INFO: Port 5 link down

Nov 28 09:54:35 192.168.40.22 INFO: Port 5 link up, 100Mbps FULL duplex

Nov 28 09:56:42 192.168.40.22 WARN: Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.12.25, MAC: 00-1B-22-01-5B-DF, Port: 5) {Это валидный нормальный ip, почему блокирован хз?}

 

И это сеть которая запущена в тестовом режиме, с 6 коммутаторами, из них в блокировку каждый день попадает порядка 5-8 портов.

Коммутаторы:

Device Type : DES-3200-10 Fast Ethernet Switch

Boot PROM Version : Build 1.00.B003

Firmware Version : Build 1.52.B009

Считаю это не нормальным поведением, но по итогу ведь у кого-то работает просто отлично, а кто-то мучается.

Если бы был хороший опыт программирования, давно нарисовал бы примерно такую схему:

центральная база с конфигами всех свичей, по датам и времени, раз в сутки или при изменении, вносятся правки в эти конфиги, скрипт который раз в 5 минут отслеживает дату изменения файла конфига и если тот изменился сливает конфиг со свича, проверяет изменения и производит синхронизацию локального конфига с конфигом на свиче, также скрипт раз в 1 минуту к примеру тем же zabbix отслеживает время uptime свича, и если оно меняется вливает туда в ram локальный актуальный конфиг.

 

Много букв, но слегка накипело, и это еще только начало чувствуется.

 

Другого более менее вменяемого решения пока не вижу, честно.

Также нуна парсилка на syslogod сервере логовов свичей, и все вот такие проблемные места выливаются в отдельные файлы, для актуализации данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPMb - набор костылей под различные версии windows и всевозможные кособокие dhcp стеки.

PCF + IP ACL - железно рабочее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дался вам этот влан пер юзер.

вот не пойму что в нем такого? зачем?

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное.

а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

lbd + igmp snooping сейчас умеют уже чуть ли не самые дешевые мыльницы, а вот применять pcf или адекватный dhcp snooping - уже действительно надо что то шибко умное.

а вобще, VpU избавляет от необходимости использовать софтовые фичи коммутаторов доступа, которые чаще всего омерзительно криво работают и допиливаются годами, и не редко вызывают сбой работы коммутатора, а то и сегмента сети.

Ни от чего ваш VpU не избавляет, наоборот - заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах. VpU - это всего лишь одна из ступеней эволюции пионера в нормального оператора, аналогичная тому же pppoe, но вовсе не заключительная стадия этой эволюции. :)

И с каких это пор PCF+IP ACL стали софтовыми фичами? Это АППАРАТНЫЕ фичи подавляющего большинства выпускаемых сегодня в мире асиков. То, что не все вендоры в своих прошивках на 100% задействуют функционал асиков - это их личное сексуальное горе. Первым начал юзать pcf длинк, теперь это делают ежики и snr. И я не вижу причин, мешающих это делать каким-либо другим вендорам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дался вам этот влан пер юзер.

вот не пойму что в нем такого? зачем?

все равно на доступе что то вполне умное, ибо loopback detection и прочие замуты типа igmp snooping.

 

На случай дешманского доступа, когда на ближайшем узле что то по умнее собирает вланы и делает с ними.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

заставляет жестко привязывать каждый свич на доступе к определенному набору вланов, резко ограничивает архитектуру агрегации/ядра и заставляет обвешиваться костылями в виде qnq при более чем 4к юзерах

 

да ладно, можно вообще одинаковые вланы для пользователей сделать на всех домах(т.е. полностью одинаковая конфигурация везде, кроме интерфейса управления и мультикаст влана),

а тэг "дома" будет уникальным, итого 4к "домов". мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков?

а на брасе вообще создать унифицированную конфигурацию под всех пользователей с одним адресным пространством и авторизовать через captive portal, так что без разницы какие там порты, вланы и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мало? или qinq костыль потому что до сих пор не поддерживается вашем любимом *BSD/linux и рождает кучу глюков?

 

Я тут в свободное время дописал поддержку: http://www.freebsd.o...r.cgi?pr=161908

Попозже ng_bridge хочу переписать, чтобы многопоточным был и тоже вланы понимал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.