Сравнение коммутаторов: различия между версиями
Sirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) (→Тесты) |
||
Строка 48: | Строка 48: | ||
* Проверка работы Loopback Detect |
* Проверка работы Loopback Detect |
||
* Проверка работы Broadcast Storm Control (как?) |
* Проверка работы Broadcast Storm Control (как?) |
||
+ | |||
+ | ==1111== |
||
+ | <PRE> |
||
+ | test# sh run |
||
+ | interface ethernet e1 |
||
+ | port storm-control broadcast enable |
||
+ | exit |
||
+ | interface ethernet e1 |
||
+ | port storm-control broadcast rate 100 |
||
+ | exit |
||
+ | no spanning-tree |
||
+ | interface ethernet e2 |
||
+ | description "---=== Access-Port=2 ===---" |
||
+ | exit |
||
+ | interface range ethernet e(1,24) |
||
+ | dot1x multiple-hosts |
||
+ | exit |
||
+ | interface ethernet e1 |
||
+ | port security mode max-addresses |
||
+ | exit |
||
+ | interface ethernet e1 |
||
+ | port security max 10 |
||
+ | exit |
||
+ | interface range ethernet e(1,24) |
||
+ | port security discard |
||
+ | exit |
||
+ | interface ethernet e24 |
||
+ | switchport mode customer |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport mode trunk |
||
+ | exit |
||
+ | vlan database |
||
+ | vlan 201-224,1000 |
||
+ | exit |
||
+ | interface ethernet e1 |
||
+ | switchport access vlan 201 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 201 |
||
+ | exit |
||
+ | interface ethernet e2 |
||
+ | switchport access vlan 202 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 202 |
||
+ | exit |
||
+ | interface ethernet e3 |
||
+ | switchport access vlan 203 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 203 |
||
+ | exit |
||
+ | interface ethernet e4 |
||
+ | switchport access vlan 204 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 204 |
||
+ | exit |
||
+ | interface ethernet e5 |
||
+ | switchport access vlan 205 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 205 |
||
+ | exit |
||
+ | interface ethernet e6 |
||
+ | switchport access vlan 206 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 206 |
||
+ | exit |
||
+ | interface ethernet e7 |
||
+ | switchport access vlan 207 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 207 |
||
+ | exit |
||
+ | interface ethernet e8 |
||
+ | switchport access vlan 208 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 208 |
||
+ | exit |
||
+ | interface ethernet e9 |
||
+ | switchport access vlan 209 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 209 |
||
+ | exit |
||
+ | interface ethernet e10 |
||
+ | switchport access vlan 210 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 210 |
||
+ | exit |
||
+ | interface ethernet e11 |
||
+ | switchport access vlan 211 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 211 |
||
+ | exit |
||
+ | interface ethernet e12 |
||
+ | switchport access vlan 212 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 212 |
||
+ | exit |
||
+ | interface ethernet e13 |
||
+ | switchport access vlan 213 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 213 |
||
+ | exit |
||
+ | interface ethernet e14 |
||
+ | switchport access vlan 214 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 214 |
||
+ | exit |
||
+ | interface ethernet e15 |
||
+ | switchport access vlan 215 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 215 |
||
+ | exit |
||
+ | interface ethernet e16 |
||
+ | switchport access vlan 216 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 216 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 217 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 218 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 219 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 220 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 221 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 222 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 223 |
||
+ | exit |
||
+ | interface range ethernet g(1-4) |
||
+ | switchport trunk allowed vlan add 224 |
||
+ | exit |
||
+ | ip dhcp snooping |
||
+ | ip dhcp snooping vlan 201 |
||
+ | ip dhcp snooping vlan 202 |
||
+ | ip dhcp snooping vlan 203 |
||
+ | ip dhcp snooping vlan 204 |
||
+ | ip dhcp snooping vlan 205 |
||
+ | ip dhcp snooping vlan 206 |
||
+ | ip dhcp snooping vlan 207 |
||
+ | ip dhcp snooping vlan 208 |
||
+ | ip dhcp snooping vlan 209 |
||
+ | ip dhcp snooping vlan 210 |
||
+ | ip dhcp snooping vlan 211 |
||
+ | ip dhcp snooping vlan 212 |
||
+ | ip dhcp snooping vlan 213 |
||
+ | ip dhcp snooping vlan 214 |
||
+ | ip dhcp snooping vlan 215 |
||
+ | ip dhcp snooping vlan 216 |
||
+ | ip dhcp snooping vlan 217 |
||
+ | ip dhcp snooping vlan 218 |
||
+ | ip dhcp snooping vlan 219 |
||
+ | ip dhcp snooping vlan 220 |
||
+ | ip dhcp snooping vlan 221 |
||
+ | ip dhcp snooping vlan 222 |
||
+ | ip dhcp snooping vlan 223 |
||
+ | ip dhcp snooping vlan 224 |
||
+ | interface ethernet g1 |
||
+ | ip dhcp snooping trust |
||
+ | exit |
||
+ | interface ethernet g2 |
||
+ | ip dhcp snooping trust |
||
+ | exit |
||
+ | interface ethernet g3 |
||
+ | ip dhcp snooping trust |
||
+ | exit |
||
+ | interface ethernet g4 |
||
+ | ip dhcp snooping trust |
||
+ | exit |
||
+ | ip source-guard |
||
+ | ip source-guard tcam retries-freq 600 |
||
+ | interface range ethernet e(1-24) |
||
+ | loopback-detection enable |
||
+ | exit |
||
+ | interface vlan 1 |
||
+ | ip address 172.16.253.2 255.255.255.0 |
||
+ | exit |
||
+ | ip default-gateway 172.16.253.1 |
||
+ | ip access-list test1 |
||
+ | permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 |
||
+ | permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 |
||
+ | deny ip 10.200.0.0 0.0.255.255 any |
||
+ | deny ip 10.199.0.0 0.0.255.255 any |
||
+ | permit ip any any |
||
+ | exit |
||
+ | ip access-list permit |
||
+ | permit ip any any |
||
+ | exit |
||
+ | ip access-list test2 |
||
+ | permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 |
||
+ | permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 |
||
+ | deny any 10.200.0.0 0.0.255.255 any |
||
+ | deny any 10.199.0.0 0.0.255.255 any |
||
+ | permit any any any |
||
+ | exit |
||
+ | interface ethernet e1 |
||
+ | service-acl input test2 |
||
+ | exit |
||
+ | hostname test |
||
+ | logging 172.16.253.1 port 214 severity notifications description test_syslog |
||
+ | username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted |
||
+ | username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted |
||
+ | ip ssh server |
||
+ | snmp-server view ALL iso included |
||
+ | snmp-server community MON ro view ALL |
||
+ | snmp-server host 172.16.253.1 MON traps 2 |
||
+ | no ip http server |
||
+ | </PRE> |
Версия 12:15, 10 июля 2009
Сравнение коммутаторов.
В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:
- Alcatel-Lucent LS-6224
- Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
- Alied Telesyn AT-8000S
- Accton Edge-Core ES-3528XA-v2
К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.
Необходимый функционал
Совершенно необходимым для коммутатора уровня доступа я считаю:
- DHCP Snooping
- Option 82 Insertion
- ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
- VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
- IP Source Guard (ф-я может называться по разному в зависимости от вендора)
- Loopback detect
- Port Security
- Storm Control
- MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)
Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.
Функционал, который желателен но обязательным не является
- Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
- Кабельный тестер
- Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
- SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
- Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)
Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.
Тесты
Определяю базовый набор тестов.
- Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
- Проверка работы IP Source Guard.
- Проверка работы ACL
- Атака Arppoison на коммутатор с "клиентского" порта.
- Проверка работы Loopback Detect
- Проверка работы Broadcast Storm Control (как?)
1111
test# sh run interface ethernet e1 port storm-control broadcast enable exit interface ethernet e1 port storm-control broadcast rate 100 exit no spanning-tree interface ethernet e2 description "---=== Access-Port=2 ===---" exit interface range ethernet e(1,24) dot1x multiple-hosts exit interface ethernet e1 port security mode max-addresses exit interface ethernet e1 port security max 10 exit interface range ethernet e(1,24) port security discard exit interface ethernet e24 switchport mode customer exit interface range ethernet g(1-4) switchport mode trunk exit vlan database vlan 201-224,1000 exit interface ethernet e1 switchport access vlan 201 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 201 exit interface ethernet e2 switchport access vlan 202 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 202 exit interface ethernet e3 switchport access vlan 203 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 203 exit interface ethernet e4 switchport access vlan 204 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 204 exit interface ethernet e5 switchport access vlan 205 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 205 exit interface ethernet e6 switchport access vlan 206 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 206 exit interface ethernet e7 switchport access vlan 207 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 207 exit interface ethernet e8 switchport access vlan 208 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 208 exit interface ethernet e9 switchport access vlan 209 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 209 exit interface ethernet e10 switchport access vlan 210 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 210 exit interface ethernet e11 switchport access vlan 211 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 211 exit interface ethernet e12 switchport access vlan 212 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 212 exit interface ethernet e13 switchport access vlan 213 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 213 exit interface ethernet e14 switchport access vlan 214 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 214 exit interface ethernet e15 switchport access vlan 215 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 215 exit interface ethernet e16 switchport access vlan 216 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 216 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 217 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 218 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 219 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 220 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 221 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 222 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 223 exit interface range ethernet g(1-4) switchport trunk allowed vlan add 224 exit ip dhcp snooping ip dhcp snooping vlan 201 ip dhcp snooping vlan 202 ip dhcp snooping vlan 203 ip dhcp snooping vlan 204 ip dhcp snooping vlan 205 ip dhcp snooping vlan 206 ip dhcp snooping vlan 207 ip dhcp snooping vlan 208 ip dhcp snooping vlan 209 ip dhcp snooping vlan 210 ip dhcp snooping vlan 211 ip dhcp snooping vlan 212 ip dhcp snooping vlan 213 ip dhcp snooping vlan 214 ip dhcp snooping vlan 215 ip dhcp snooping vlan 216 ip dhcp snooping vlan 217 ip dhcp snooping vlan 218 ip dhcp snooping vlan 219 ip dhcp snooping vlan 220 ip dhcp snooping vlan 221 ip dhcp snooping vlan 222 ip dhcp snooping vlan 223 ip dhcp snooping vlan 224 interface ethernet g1 ip dhcp snooping trust exit interface ethernet g2 ip dhcp snooping trust exit interface ethernet g3 ip dhcp snooping trust exit interface ethernet g4 ip dhcp snooping trust exit ip source-guard ip source-guard tcam retries-freq 600 interface range ethernet e(1-24) loopback-detection enable exit interface vlan 1 ip address 172.16.253.2 255.255.255.0 exit ip default-gateway 172.16.253.1 ip access-list test1 permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 deny ip 10.200.0.0 0.0.255.255 any deny ip 10.199.0.0 0.0.255.255 any permit ip any any exit ip access-list permit permit ip any any exit ip access-list test2 permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 deny any 10.200.0.0 0.0.255.255 any deny any 10.199.0.0 0.0.255.255 any permit any any any exit interface ethernet e1 service-acl input test2 exit hostname test logging 172.16.253.1 port 214 severity notifications description test_syslog username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted ip ssh server snmp-server view ALL iso included snmp-server community MON ro view ALL snmp-server host 172.16.253.1 MON traps 2 no ip http server