Сравнение коммутаторов
Сравнение коммутаторов.
В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:
- Alcatel-Lucent LS-6224
- Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
- Alied Telesyn AT-8000S
- Accton Edge-Core ES-3528XA-v2
К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.
Необходимый функционал
Совершенно необходимым для коммутатора уровня доступа я считаю:
- DHCP Snooping
- Option 82 Insertion
- ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
- VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
- IP Source Guard (ф-я может называться по разному в зависимости от вендора)
- Loopback detect
- Port Security
- Storm Control
- MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)
Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.
Функционал, который желателен но обязательным не является
- Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
- Кабельный тестер
- Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
- SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
- Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)
Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.
Тесты
Определяю базовый набор тестов.
- Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
- Проверка работы IP Source Guard.
- Проверка работы ACL
- Атака Arppoison на коммутатор с "клиентского" порта.
- Проверка работы Loopback Detect
- Проверка работы Broadcast Storm Control (как?)