Сравнение коммутаторов

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску

Сравнение коммутаторов.

В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:

  • Alcatel-Lucent LS-6224
  • Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
  • Alied Telesyn AT-8000S
  • Accton Edge-Core ES-3528XA-v2


К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.


Необходимый функционал

Совершенно необходимым для коммутатора уровня доступа я считаю:

  1. DHCP Snooping
  2. Option 82 Insertion
  3. ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
  4. VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
  5. IP Source Guard (ф-я может называться по разному в зависимости от вендора)
  6. Loopback detect
  7. Port Security
  8. Storm Control
  9. MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)

Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.

Функционал, который желателен но обязательным не является

  1. Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
  2. Кабельный тестер
  3. Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
  4. SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
  5. Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)

Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.

Тесты

Определяю базовый набор тестов.

  • Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
  • Проверка работы IP Source Guard.
  • Проверка работы ACL
  • Атака Arppoison на коммутатор с "клиентского" порта.
  • Проверка работы Loopback Detect
  • Проверка работы Broadcast Storm Control (как?)

ALcatelLucent LS-6224

у меня для теста достался следующий коммутатор: 

test#  sh ver
SW version    1.5.1.7 ( date  26-Feb-2008 time  17:04:09 )
Boot version    1.0.0.12 ( date  19-Oct-2006 time  09:07:37 )
HW version    00.00.01

DHCP Snooping + Opt. 82 + ip source guard

Кофигурирую DHCPd (максимально простой конфиг): 

...
class "port-1"
{
   match if (
        binary-to-ascii(10, 16, "",  substring(option agent.circuit-id, 2, 2)) = "201"
        and
        binary-to-ascii(10, 8, "/",  suffix(option agent.circuit-id, 1)) = "1"
    );

}
...



shared-network "clients" {
    subnet 172.16.253.0 netmask 255.255.255.252 { }

    subnet 10.200.0.0 netmask 255.255.0.0 {
        option subnet-mask 255.255.0.0;
        option broadcast-address 10.200.255.255;
        option routers 10.200.0.1;


        pool {
        range 10.200.0.2;
        allow members of "port-1";
        }

        pool {
    }

}

Наиболее важные моменты в конфигурации коммутатора: 

interface range ethernet e(1,24)
 dot1x multiple-hosts
 security mode max-addresses
 port security max 10
 port security discard
 switchport access vlan 201
 loopback-detection enable
 service-acl input test2
exit

ip dhcp snooping
ip dhcp snooping vlan 201

interface ethernet g1
 ip dhcp snooping trust

ip source-guard
ip source-guard tcam retries-freq 600
interface range ethernet e(1-24)


interface vlan 1
 ip address 172.16.253.2 255.255.255.0
exit

ip default-gateway 172.16.253.1

ip access-list test2
 permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
 permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
 deny any 10.200.0.0 0.0.255.255 any
 deny any 10.199.0.0 0.0.255.255 any
 permit any any any
exit

hostname test
ip ssh server

При запросе DHCP от клиента в Vlan201 вижу: 

... поскипано ...
    Option: (t=82,l=18) Agent Information Option
        Option: (82) Agent Information Option
        Length: 18
        Value: 0106000400C90101020800060012CF84D420
        Agent Circuit ID: 000400C90101
        Agent Remote ID: 00060012CFXXXXXX
    End Option

Где Agent Circuit ID: 00C90101 Значение Circuit ID побайтно:00 04 00C9 01 01

00 - Тип Circit ID (Всегда 0?) (1 байт, смещение 0)
04 - Длинна (констаната? почему такое значение?) (1 байт, смещение 1)
00C9 - VLAN ID (2 байта, смещение 2)
01 - Stack/Module ID (0 или 1 у stand-alone switch) 1 байт, смещение 4
01 - Port (1 байт, смещение 5)

Очевидно, что вставка Opt. 82 работает. Пробую переключь DHCP-сервер в другой порт (g2) и включаю его как не-доверительный. 

interface ethernet g2
 no ip dhcp snooping trust
exit

После истечения времени аренды связь с тестовым хостом пропадает. При обратном переключении - восстанавливается. 

sh ip dhcp snooping binding
Total number of binding: 1

   MAC Adreess       IP Address    Lease (sec)     Type    VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
00:1c:23:95:8d:8b  10.200.0.2      46           learned    201  e1
Источник — https://noname.com.ua/mediawiki/index.php?title=Сравнение_коммутаторов&oldid=865