Jump to content

Свичи Dell + ip source guard

Mechanic
 Share

Recommended Posts

Mechanic

Mechanic

Posted
  • Author
Posted

дело не в шильдике, а в функционале

SMC=edge-core на 99%

чего не скажешь про другие бренды

в младших моделях edge-core есть ISG, в 33**,34** от Dell его нет и не будет

s.lobanov

s.lobanov

Posted
Posted

а почему dell виснуть не будут? софт-то одна контора делает(accton)

 

виснут они скорее от arp inspection, т.к. он работает на CPU, а для ip source guard cpu используется только в момент создания/удаления динамического acl

Mechanic

Mechanic

Posted
  • Author
Posted

виснут при вкл dhcp snooping причем на многих домах (на единицах -все ок), видимо в cpu попадает что-то из сети и он не может переварить

s.lobanov

s.lobanov

Posted
Posted

повторюсь, почему вы считаете что dell так не будут виснуть?

 

по своему опыту скажу, что многие свитчи виснут(или сильно тормозят) от трафика к cpu. есть с механизмами защиты в asic(от broadcast/multicast/unknown unicast), но когда на cpu идёт простой unicast, то всё печальнее. свитчей доступа с механизмами борьбы от таких атак я не видел(когда забивается шина к cpu юникастом), бывает защита на уровне ядра ОС, когда дропается трафик к процессу или task, но это спасает только от слабых атак

 

вы сами виноваты в том, что частично переносите функционал bras на оборудование доступа

Mechanic

Mechanic

Posted
  • Author
Posted

повторюсь, почему вы считаете что dell так не будут виснуть?

 

по своему опыту скажу, что многие свитчи виснут(или сильно тормозят) от трафика к cpu. есть с механизмами защиты в asic(от broadcast/multicast/unknown unicast), но когда на cpu идёт простой unicast, то всё печальнее. свитчей доступа с механизмами борьбы от таких атак я не видел(когда забивается шина к cpu юникастом), бывает защита на уровне ядра ОС, когда дропается трафик к процессу или task, но это спасает только от слабых атак

 

вы сами виноваты в том, что частично переносите функционал bras на оборудование доступа

а что разве dhcp snooping и ISG не на доступе должны быть?!

кроме этого на свичах включен мультикаст - все то, что должно быть на свичах доступа

насчет повисания dell- не знаю, не пробовал еще их

но теже dlink 3200 с включенным снупингом работают нормально, да и 3528м виснут очень редко

s.lobanov

s.lobanov

Posted
Posted

а что разве dhcp snooping и ISG не на доступе должны быть?!

 

давайте всё-таки называть фичи более "традиционно". ip source guard и cisco/bras ISG(обычно именно это называют ISG) это совсем разные вещи, я долго вкуривал как вы ISG затащили на доступ...

 

вообще говоря, изначально оборудование доступа ethernet задумывалось как L2 и прикручивание на него L3+ фич приводит к проблемам "high cpu usage", т.к. многие вещи реализуются не в asic, а в софте, но на практике, проще делать относительно большие L2-сегменты, от чего периодически возникает геморрой...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.