Сравнение коммутаторов: различия между версиями
Sirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) (→Тесты) |
||
| Строка 32: | Строка 32: | ||
==Тесты== |
==Тесты== |
||
| + | Итого, определяю базовый набор тестов. |
||
| + | |||
| + | * Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт. |
||
| + | * Проверка работы IP Source Guard. |
||
| + | * Проверка работы ACL |
||
| + | * Атака Arppoison на коммутатор с "клиентского" порта. |
||
| + | * Проверка работы Loopback Detect |
||
| + | * Проверка работы Broadcast Storm Control (как?) |
||
Версия 23:26, 8 июля 2009
Сравнение коммутаторов.
В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526) Alied Telesyn AT-8000S Accton Edge-Core ES-3528XA-v2 Alcatel-Lucent LS-6224
К сожалению, я не имеюинформации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528A
Необходимый функционал
Совершенно необходимым для коммутатора уровня доступа я считаю:
- DHCP Snooping
- Option 82 Insertion
- ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
- VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
- IP Source Guard (ф-я может называться по разному в зависимости от вендора)
- Loopback detect
- Port Security
Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.
Функционал, который желателен но обязательным не является
- Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
- Кабельный тестер
- Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
- SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.
Тесты
Итого, определяю базовый набор тестов.
- Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
- Проверка работы IP Source Guard.
- Проверка работы ACL
- Атака Arppoison на коммутатор с "клиентского" порта.
- Проверка работы Loopback Detect
- Проверка работы Broadcast Storm Control (как?)
