Jump to content
Калькуляторы

Свичи Dell + ip source guard

Reply to this topic

s.lobanov   

s.lobanov
Posted

accton делает как для "себя" и продаёт их как edge-core, так и для "брендов" типа dell. Даже закладки у них одинаковые(http://www.exploit-db.com/exploits/14875/ ). Вам принципипльно иметь шильдик dell?

Share this post

Link to post
Share on other sites

Mechanic   

Mechanic
Posted

дело не в шильдике, а в функционале

SMC=edge-core на 99%

чего не скажешь про другие бренды

в младших моделях edge-core есть ISG, в 33**,34** от Dell его нет и не будет

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

а почему dell виснуть не будут? софт-то одна контора делает(accton)

 

виснут они скорее от arp inspection, т.к. он работает на CPU, а для ip source guard cpu используется только в момент создания/удаления динамического acl

Share this post

Link to post
Share on other sites

Mechanic   

Mechanic
Posted

виснут при вкл dhcp snooping причем на многих домах (на единицах -все ок), видимо в cpu попадает что-то из сети и он не может переварить

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

повторюсь, почему вы считаете что dell так не будут виснуть?

 

по своему опыту скажу, что многие свитчи виснут(или сильно тормозят) от трафика к cpu. есть с механизмами защиты в asic(от broadcast/multicast/unknown unicast), но когда на cpu идёт простой unicast, то всё печальнее. свитчей доступа с механизмами борьбы от таких атак я не видел(когда забивается шина к cpu юникастом), бывает защита на уровне ядра ОС, когда дропается трафик к процессу или task, но это спасает только от слабых атак

 

вы сами виноваты в том, что частично переносите функционал bras на оборудование доступа

Share this post

Link to post
Share on other sites

Mechanic   

Mechanic
Posted

повторюсь, почему вы считаете что dell так не будут виснуть?

 

по своему опыту скажу, что многие свитчи виснут(или сильно тормозят) от трафика к cpu. есть с механизмами защиты в asic(от broadcast/multicast/unknown unicast), но когда на cpu идёт простой unicast, то всё печальнее. свитчей доступа с механизмами борьбы от таких атак я не видел(когда забивается шина к cpu юникастом), бывает защита на уровне ядра ОС, когда дропается трафик к процессу или task, но это спасает только от слабых атак

 

вы сами виноваты в том, что частично переносите функционал bras на оборудование доступа

а что разве dhcp snooping и ISG не на доступе должны быть?!

кроме этого на свичах включен мультикаст - все то, что должно быть на свичах доступа

насчет повисания dell- не знаю, не пробовал еще их

но теже dlink 3200 с включенным снупингом работают нормально, да и 3528м виснут очень редко

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

а что разве dhcp snooping и ISG не на доступе должны быть?!

 

давайте всё-таки называть фичи более "традиционно". ip source guard и cisco/bras ISG(обычно именно это называют ISG) это совсем разные вещи, я долго вкуривал как вы ISG затащили на доступ...

 

вообще говоря, изначально оборудование доступа ethernet задумывалось как L2 и прикручивание на него L3+ фич приводит к проблемам "high cpu usage", т.к. многие вещи реализуются не в asic, а в софте, но на практике, проще делать относительно большие L2-сегменты, от чего периодически возникает геморрой...

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...