Сравнение коммутаторов: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 48: Строка 48:
 
* Проверка работы Loopback Detect
 
* Проверка работы Loopback Detect
 
* Проверка работы Broadcast Storm Control (как?)
 
* Проверка работы Broadcast Storm Control (как?)
  +
  +
==1111==
  +
<PRE>
  +
test# sh run
  +
interface ethernet e1
  +
port storm-control broadcast enable
  +
exit
  +
interface ethernet e1
  +
port storm-control broadcast rate 100
  +
exit
  +
no spanning-tree
  +
interface ethernet e2
  +
description "---=== Access-Port=2 ===---"
  +
exit
  +
interface range ethernet e(1,24)
  +
dot1x multiple-hosts
  +
exit
  +
interface ethernet e1
  +
port security mode max-addresses
  +
exit
  +
interface ethernet e1
  +
port security max 10
  +
exit
  +
interface range ethernet e(1,24)
  +
port security discard
  +
exit
  +
interface ethernet e24
  +
switchport mode customer
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport mode trunk
  +
exit
  +
vlan database
  +
vlan 201-224,1000
  +
exit
  +
interface ethernet e1
  +
switchport access vlan 201
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 201
  +
exit
  +
interface ethernet e2
  +
switchport access vlan 202
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 202
  +
exit
  +
interface ethernet e3
  +
switchport access vlan 203
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 203
  +
exit
  +
interface ethernet e4
  +
switchport access vlan 204
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 204
  +
exit
  +
interface ethernet e5
  +
switchport access vlan 205
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 205
  +
exit
  +
interface ethernet e6
  +
switchport access vlan 206
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 206
  +
exit
  +
interface ethernet e7
  +
switchport access vlan 207
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 207
  +
exit
  +
interface ethernet e8
  +
switchport access vlan 208
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 208
  +
exit
  +
interface ethernet e9
  +
switchport access vlan 209
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 209
  +
exit
  +
interface ethernet e10
  +
switchport access vlan 210
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 210
  +
exit
  +
interface ethernet e11
  +
switchport access vlan 211
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 211
  +
exit
  +
interface ethernet e12
  +
switchport access vlan 212
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 212
  +
exit
  +
interface ethernet e13
  +
switchport access vlan 213
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 213
  +
exit
  +
interface ethernet e14
  +
switchport access vlan 214
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 214
  +
exit
  +
interface ethernet e15
  +
switchport access vlan 215
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 215
  +
exit
  +
interface ethernet e16
  +
switchport access vlan 216
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 216
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 217
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 218
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 219
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 220
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 221
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 222
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 223
  +
exit
  +
interface range ethernet g(1-4)
  +
switchport trunk allowed vlan add 224
  +
exit
  +
ip dhcp snooping
  +
ip dhcp snooping vlan 201
  +
ip dhcp snooping vlan 202
  +
ip dhcp snooping vlan 203
  +
ip dhcp snooping vlan 204
  +
ip dhcp snooping vlan 205
  +
ip dhcp snooping vlan 206
  +
ip dhcp snooping vlan 207
  +
ip dhcp snooping vlan 208
  +
ip dhcp snooping vlan 209
  +
ip dhcp snooping vlan 210
  +
ip dhcp snooping vlan 211
  +
ip dhcp snooping vlan 212
  +
ip dhcp snooping vlan 213
  +
ip dhcp snooping vlan 214
  +
ip dhcp snooping vlan 215
  +
ip dhcp snooping vlan 216
  +
ip dhcp snooping vlan 217
  +
ip dhcp snooping vlan 218
  +
ip dhcp snooping vlan 219
  +
ip dhcp snooping vlan 220
  +
ip dhcp snooping vlan 221
  +
ip dhcp snooping vlan 222
  +
ip dhcp snooping vlan 223
  +
ip dhcp snooping vlan 224
  +
interface ethernet g1
  +
ip dhcp snooping trust
  +
exit
  +
interface ethernet g2
  +
ip dhcp snooping trust
  +
exit
  +
interface ethernet g3
  +
ip dhcp snooping trust
  +
exit
  +
interface ethernet g4
  +
ip dhcp snooping trust
  +
exit
  +
ip source-guard
  +
ip source-guard tcam retries-freq 600
  +
interface range ethernet e(1-24)
  +
loopback-detection enable
  +
exit
  +
interface vlan 1
  +
ip address 172.16.253.2 255.255.255.0
  +
exit
  +
ip default-gateway 172.16.253.1
  +
ip access-list test1
  +
permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
  +
permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
  +
deny ip 10.200.0.0 0.0.255.255 any
  +
deny ip 10.199.0.0 0.0.255.255 any
  +
permit ip any any
  +
exit
  +
ip access-list permit
  +
permit ip any any
  +
exit
  +
ip access-list test2
  +
permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
  +
permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
  +
deny any 10.200.0.0 0.0.255.255 any
  +
deny any 10.199.0.0 0.0.255.255 any
  +
permit any any any
  +
exit
  +
interface ethernet e1
  +
service-acl input test2
  +
exit
  +
hostname test
  +
logging 172.16.253.1 port 214 severity notifications description test_syslog
  +
username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted
  +
username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted
  +
ip ssh server
  +
snmp-server view ALL iso included
  +
snmp-server community MON ro view ALL
  +
snmp-server host 172.16.253.1 MON traps 2
  +
no ip http server
  +
</PRE>

Версия 12:15, 10 июля 2009

Сравнение коммутаторов.

В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:

  • Alcatel-Lucent LS-6224
  • Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
  • Alied Telesyn AT-8000S
  • Accton Edge-Core ES-3528XA-v2


К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.


Необходимый функционал

Совершенно необходимым для коммутатора уровня доступа я считаю:

  1. DHCP Snooping
  2. Option 82 Insertion
  3. ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
  4. VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
  5. IP Source Guard (ф-я может называться по разному в зависимости от вендора)
  6. Loopback detect
  7. Port Security
  8. Storm Control
  9. MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)

Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.

Функционал, который желателен но обязательным не является

  1. Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
  2. Кабельный тестер
  3. Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
  4. SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
  5. Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)

Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.

Тесты

Определяю базовый набор тестов.

  • Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
  • Проверка работы IP Source Guard.
  • Проверка работы ACL
  • Атака Arppoison на коммутатор с "клиентского" порта.
  • Проверка работы Loopback Detect
  • Проверка работы Broadcast Storm Control (как?)

1111

test# sh run
interface ethernet e1
port storm-control broadcast enable
exit
interface ethernet e1
port storm-control broadcast rate 100
exit
no spanning-tree
interface ethernet e2
description "---=== Access-Port=2 ===---"
exit
interface range ethernet e(1,24)
dot1x multiple-hosts
exit
interface ethernet e1
port security mode max-addresses
exit
interface ethernet e1
port security max 10
exit
interface range ethernet e(1,24)
port security discard
exit
interface ethernet e24
switchport mode customer
exit
interface range ethernet g(1-4)
switchport mode trunk
exit
vlan database
vlan 201-224,1000
exit
interface ethernet e1
switchport access vlan 201
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 201
exit
interface ethernet e2
switchport access vlan 202
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 202
exit
interface ethernet e3
switchport access vlan 203
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 203
exit
interface ethernet e4
switchport access vlan 204
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 204
exit
interface ethernet e5
switchport access vlan 205
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 205
exit
interface ethernet e6
switchport access vlan 206
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 206
exit
interface ethernet e7
switchport access vlan 207
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 207
exit
interface ethernet e8
switchport access vlan 208
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 208
exit
interface ethernet e9
switchport access vlan 209
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 209
exit
interface ethernet e10
switchport access vlan 210
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 210
exit
interface ethernet e11
switchport access vlan 211
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 211
exit
interface ethernet e12
switchport access vlan 212
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 212
exit
interface ethernet e13
switchport access vlan 213
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 213
exit
interface ethernet e14
switchport access vlan 214
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 214
exit
interface ethernet e15
switchport access vlan 215
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 215
exit
interface ethernet e16
switchport access vlan 216
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 216
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 217
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 218
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 219
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 220
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 221
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 222
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 223
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 224
exit
ip dhcp snooping
ip dhcp snooping vlan 201
ip dhcp snooping vlan 202
ip dhcp snooping vlan 203
ip dhcp snooping vlan 204
ip dhcp snooping vlan 205
ip dhcp snooping vlan 206
ip dhcp snooping vlan 207
ip dhcp snooping vlan 208
ip dhcp snooping vlan 209
ip dhcp snooping vlan 210
ip dhcp snooping vlan 211
ip dhcp snooping vlan 212
ip dhcp snooping vlan 213
ip dhcp snooping vlan 214
ip dhcp snooping vlan 215
ip dhcp snooping vlan 216
ip dhcp snooping vlan 217
ip dhcp snooping vlan 218
ip dhcp snooping vlan 219
ip dhcp snooping vlan 220
ip dhcp snooping vlan 221
ip dhcp snooping vlan 222
ip dhcp snooping vlan 223
ip dhcp snooping vlan 224
interface ethernet g1
ip dhcp snooping trust
exit
interface ethernet g2
ip dhcp snooping trust
exit
interface ethernet g3
ip dhcp snooping trust
exit
interface ethernet g4
ip dhcp snooping trust
exit
ip source-guard
ip source-guard tcam retries-freq 600
interface range ethernet e(1-24)
loopback-detection enable
exit
interface vlan 1
ip address 172.16.253.2 255.255.255.0
exit
ip default-gateway 172.16.253.1
ip access-list test1
permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
deny ip 10.200.0.0 0.0.255.255 any
deny ip 10.199.0.0 0.0.255.255 any
permit ip any any
exit
ip access-list permit
permit ip any any
exit
ip access-list test2
permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
deny any 10.200.0.0 0.0.255.255 any
deny any 10.199.0.0 0.0.255.255 any
permit any any any
exit
interface ethernet e1
service-acl input test2
exit
hostname test
logging 172.16.253.1 port 214 severity notifications  description test_syslog
username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted
username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted
ip ssh server
snmp-server view ALL iso included
snmp-server community MON ro view ALL
snmp-server host 172.16.253.1 MON traps 2
no ip http server