Сравнение коммутаторов: различия между версиями
Sirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
Строка 178: | Строка 178: | ||
00:1c:23:95:8d:8b 10.200.0.2 46 learned 201 e1 |
00:1c:23:95:8d:8b 10.200.0.2 46 learned 201 e1 |
||
</PRE> |
</PRE> |
||
+ | |||
+ | ip source guard и ACL работают так как и описано в документации без всяких "но". Попытка поставить ip адрес руками а не использовать автоматическое получение приводит к неработоспособности сети (что и требовалось). |
Версия 12:51, 10 июля 2009
Сравнение коммутаторов.
В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:
- Alcatel-Lucent LS-6224
- Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
- Alied Telesyn AT-8000S
- Accton Edge-Core ES-3528XA-v2
К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.
Необходимый функционал
Совершенно необходимым для коммутатора уровня доступа я считаю:
- DHCP Snooping
- Option 82 Insertion
- ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
- VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
- IP Source Guard (ф-я может называться по разному в зависимости от вендора)
- Loopback detect
- Port Security
- Storm Control
- MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)
Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.
Функционал, который желателен но обязательным не является
- Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
- Кабельный тестер
- Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
- SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
- Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)
Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.
Тесты
Определяю базовый набор тестов.
- Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
- Проверка работы IP Source Guard.
- Проверка работы ACL
- Атака Arppoison на коммутатор с "клиентского" порта.
- Проверка работы Loopback Detect
- Проверка работы Broadcast Storm Control (как?)
ALcatelLucent LS-6224
у меня для теста достался следующий коммутатор:
test# sh ver SW version 1.5.1.7 ( date 26-Feb-2008 time 17:04:09 ) Boot version 1.0.0.12 ( date 19-Oct-2006 time 09:07:37 ) HW version 00.00.01
DHCP Snooping + Opt. 82 + ip source guard
Конфиг DHCPd
Кофигурирую DHCPd (максимально простой конфиг):
... class "port-1" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "201" and binary-to-ascii(10, 8, "/", suffix(option agent.circuit-id, 1)) = "1" ); } ... shared-network "clients" { subnet 172.16.253.0 netmask 255.255.255.252 { } subnet 10.200.0.0 netmask 255.255.0.0 { option subnet-mask 255.255.0.0; option broadcast-address 10.200.255.255; option routers 10.200.0.1; pool { range 10.200.0.2; allow members of "port-1"; } pool { } }
Конфиг коммутатора
Наиболее важные моменты в конфигурации коммутатора:
interface range ethernet e(1-24) dot1x multiple-hosts security mode max-addresses port security max 10 port security discard switchport access vlan 201 loopback-detection enable service-acl input test2 ip source-guard exit ip dhcp snooping ip dhcp snooping vlan 201 interface ethernet g1 ip dhcp snooping trust exit ip source-guard ip source-guard tcam retries-freq 600 interface vlan 1 ip address 172.16.253.2 255.255.255.0 exit ip default-gateway 172.16.253.1 ip access-list test2 permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 deny any 10.200.0.0 0.0.255.255 any deny any 10.199.0.0 0.0.255.255 any permit any any any exit hostname test ip ssh server
Проверка работы
При запросе DHCP от клиента в Vlan201 вижу:
... поскипано ... Option: (t=82,l=18) Agent Information Option Option: (82) Agent Information Option Length: 18 Value: 0106000400C90101020800060012CF84D420 Agent Circuit ID: 000400C90101 Agent Remote ID: 00060012CFXXXXXX End Option
Где
Agent Circuit ID: 00C90101
Значение Circuit ID побайтно:00 04 00C9 01 01
00 - Тип Circit ID (Всегда 0?) (1 байт, смещение 0)
04 - Длинна (констаната? почему такое значение?) (1 байт, смещение 1)
00C9 - VLAN ID (2 байта, смещение 2)
01 - Stack/Module ID (0 или 1 у stand-alone switch) 1 байт, смещение 4
01 - Port (1 байт, смещение 5)
Очевидно, что вставка Opt. 82 работает. Пробую переключь DHCP-сервер в другой порт (g2) и включаю его как не-доверительный.
interface ethernet g2 no ip dhcp snooping trust exit
После истечения времени аренды связь с тестовым хостом пропадает. При обратном переключении - восстанавливается.
sh ip dhcp snooping binding Total number of binding: 1 MAC Adreess IP Address Lease (sec) Type VLAN Interface ------------------ --------------- ------------ ---------- ---- ---------- 00:1c:23:95:8d:8b 10.200.0.2 46 learned 201 e1
ip source guard и ACL работают так как и описано в документации без всяких "но". Попытка поставить ip адрес руками а не использовать автоматическое получение приводит к неработоспособности сети (что и требовалось).