Сравнение коммутаторов: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) (→Тесты) |
Sirmax (обсуждение | вклад) (→1111) |
||
| Строка 49: | Строка 49: | ||
* Проверка работы Broadcast Storm Control (как?) |
* Проверка работы Broadcast Storm Control (как?) |
||
| + | ==ALcatelLucent LS-6224== |
||
| − | ==1111== |
||
| + | у меня для теста достался следующий коммутатор: |
||
<PRE> |
<PRE> |
||
| − | test# sh |
+ | test# sh ver |
| + | SW version 1.5.1.7 ( date 26-Feb-2008 time 17:04:09 ) |
||
| − | interface ethernet e1 |
||
| + | Boot version 1.0.0.12 ( date 19-Oct-2006 time 09:07:37 ) |
||
| − | port storm-control broadcast enable |
||
| + | HW version 00.00.01 |
||
| − | exit |
||
| + | </PRE> |
||
| − | interface ethernet e1 |
||
| + | ===DHCP Snooping + Opt. 82=== |
||
| − | port storm-control broadcast rate 100 |
||
| + | Кофигурирую DHCPd (максимально простой конфиг): |
||
| − | exit |
||
| + | <PRE> |
||
| − | no spanning-tree |
||
| + | ... |
||
| − | interface ethernet e2 |
||
| + | class "port-1" |
||
| − | description "---=== Access-Port=2 ===---" |
||
| + | { |
||
| − | exit |
||
| + | match if ( |
||
| + | binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "201" |
||
| + | and |
||
| + | binary-to-ascii(10, 8, "/", suffix(option agent.circuit-id, 1)) = "1" |
||
| + | ); |
||
| + | |||
| + | } |
||
| + | ... |
||
| + | |||
| + | |||
| + | |||
| + | shared-network "clients" { |
||
| + | subnet 172.16.253.0 netmask 255.255.255.252 { } |
||
| + | |||
| + | subnet 10.200.0.0 netmask 255.255.0.0 { |
||
| + | option subnet-mask 255.255.0.0; |
||
| + | option broadcast-address 10.200.255.255; |
||
| + | option routers 10.200.0.1; |
||
| + | |||
| + | |||
| + | pool { |
||
| + | range 10.200.0.2; |
||
| + | allow members of "port-1"; |
||
| + | } |
||
| + | |||
| + | pool { |
||
| + | } |
||
| + | |||
| + | } |
||
| + | </PRE> |
||
| + | |||
| + | |||
| + | <PRE> |
||
| + | |||
interface range ethernet e(1,24) |
interface range ethernet e(1,24) |
||
| − | dot1x multiple-hosts |
+ | dot1x multiple-hosts |
| + | security mode max-addresses |
||
| − | exit |
||
| + | port security max 10 |
||
| − | interface ethernet e1 |
||
| − | port security |
+ | port security discard |
| + | switchport access vlan 201 |
||
| − | exit |
||
| + | loopback-detection enable |
||
| − | interface ethernet e1 |
||
| + | service-acl input test2 |
||
| − | port security max 10 |
||
| − | exit |
||
| − | interface range ethernet e(1,24) |
||
| − | port security discard |
||
| − | exit |
||
| − | interface ethernet e24 |
||
| − | switchport mode customer |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport mode trunk |
||
| − | exit |
||
| − | vlan database |
||
| − | vlan 201-224,1000 |
||
| − | exit |
||
| − | interface ethernet e1 |
||
| − | switchport access vlan 201 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 201 |
||
| − | exit |
||
| − | interface ethernet e2 |
||
| − | switchport access vlan 202 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 202 |
||
| − | exit |
||
| − | interface ethernet e3 |
||
| − | switchport access vlan 203 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 203 |
||
| − | exit |
||
| − | interface ethernet e4 |
||
| − | switchport access vlan 204 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 204 |
||
| − | exit |
||
| − | interface ethernet e5 |
||
| − | switchport access vlan 205 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 205 |
||
| − | exit |
||
| − | interface ethernet e6 |
||
| − | switchport access vlan 206 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 206 |
||
| − | exit |
||
| − | interface ethernet e7 |
||
| − | switchport access vlan 207 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 207 |
||
| − | exit |
||
| − | interface ethernet e8 |
||
| − | switchport access vlan 208 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 208 |
||
| − | exit |
||
| − | interface ethernet e9 |
||
| − | switchport access vlan 209 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 209 |
||
| − | exit |
||
| − | interface ethernet e10 |
||
| − | switchport access vlan 210 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 210 |
||
| − | exit |
||
| − | interface ethernet e11 |
||
| − | switchport access vlan 211 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 211 |
||
| − | exit |
||
| − | interface ethernet e12 |
||
| − | switchport access vlan 212 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 212 |
||
| − | exit |
||
| − | interface ethernet e13 |
||
| − | switchport access vlan 213 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 213 |
||
| − | exit |
||
| − | interface ethernet e14 |
||
| − | switchport access vlan 214 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 214 |
||
| − | exit |
||
| − | interface ethernet e15 |
||
| − | switchport access vlan 215 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 215 |
||
| − | exit |
||
| − | interface ethernet e16 |
||
| − | switchport access vlan 216 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 216 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 217 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 218 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 219 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 220 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 221 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 222 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 223 |
||
| − | exit |
||
| − | interface range ethernet g(1-4) |
||
| − | switchport trunk allowed vlan add 224 |
||
exit |
exit |
||
| + | |||
ip dhcp snooping |
ip dhcp snooping |
||
ip dhcp snooping vlan 201 |
ip dhcp snooping vlan 201 |
||
| + | |||
| − | ip dhcp snooping vlan 202 |
||
| − | ip dhcp snooping vlan 203 |
||
| − | ip dhcp snooping vlan 204 |
||
| − | ip dhcp snooping vlan 205 |
||
| − | ip dhcp snooping vlan 206 |
||
| − | ip dhcp snooping vlan 207 |
||
| − | ip dhcp snooping vlan 208 |
||
| − | ip dhcp snooping vlan 209 |
||
| − | ip dhcp snooping vlan 210 |
||
| − | ip dhcp snooping vlan 211 |
||
| − | ip dhcp snooping vlan 212 |
||
| − | ip dhcp snooping vlan 213 |
||
| − | ip dhcp snooping vlan 214 |
||
| − | ip dhcp snooping vlan 215 |
||
| − | ip dhcp snooping vlan 216 |
||
| − | ip dhcp snooping vlan 217 |
||
| − | ip dhcp snooping vlan 218 |
||
| − | ip dhcp snooping vlan 219 |
||
| − | ip dhcp snooping vlan 220 |
||
| − | ip dhcp snooping vlan 221 |
||
| − | ip dhcp snooping vlan 222 |
||
| − | ip dhcp snooping vlan 223 |
||
| − | ip dhcp snooping vlan 224 |
||
interface ethernet g1 |
interface ethernet g1 |
||
| − | ip dhcp snooping trust |
+ | ip dhcp snooping trust |
| + | |||
| − | exit |
||
| − | interface ethernet g2 |
||
| − | ip dhcp snooping trust |
||
| − | exit |
||
| − | interface ethernet g3 |
||
| − | ip dhcp snooping trust |
||
| − | exit |
||
| − | interface ethernet g4 |
||
| − | ip dhcp snooping trust |
||
| − | exit |
||
ip source-guard |
ip source-guard |
||
ip source-guard tcam retries-freq 600 |
ip source-guard tcam retries-freq 600 |
||
interface range ethernet e(1-24) |
interface range ethernet e(1-24) |
||
| + | |||
| − | loopback-detection enable |
||
| + | |||
| − | exit |
||
interface vlan 1 |
interface vlan 1 |
||
| − | ip address 172.16.253.2 255.255.255.0 |
+ | ip address 172.16.253.2 255.255.255.0 |
exit |
exit |
||
| + | |||
ip default-gateway 172.16.253.1 |
ip default-gateway 172.16.253.1 |
||
| + | |||
| − | ip access-list test1 |
||
| − | permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 |
||
| − | permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 |
||
| − | deny ip 10.200.0.0 0.0.255.255 any |
||
| − | deny ip 10.199.0.0 0.0.255.255 any |
||
| − | permit ip any any |
||
| − | exit |
||
| − | ip access-list permit |
||
| − | permit ip any any |
||
| − | exit |
||
ip access-list test2 |
ip access-list test2 |
||
| − | permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 |
+ | permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 |
| − | permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 |
+ | permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 |
| − | deny any 10.200.0.0 0.0.255.255 any |
+ | deny any 10.200.0.0 0.0.255.255 any |
| − | deny any 10.199.0.0 0.0.255.255 any |
+ | deny any 10.199.0.0 0.0.255.255 any |
| − | permit any any any |
+ | permit any any any |
| − | exit |
||
| − | interface ethernet e1 |
||
| − | service-acl input test2 |
||
exit |
exit |
||
| + | |||
hostname test |
hostname test |
||
| − | logging 172.16.253.1 port 214 severity notifications description test_syslog |
||
| − | username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted |
||
| − | username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted |
||
ip ssh server |
ip ssh server |
||
| − | snmp-server view ALL iso included |
||
| − | snmp-server community MON ro view ALL |
||
| − | snmp-server host 172.16.253.1 MON traps 2 |
||
| − | no ip http server |
||
</PRE> |
</PRE> |
||
Версия 13:27, 10 июля 2009
Сравнение коммутаторов.
В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:
- Alcatel-Lucent LS-6224
- Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
- Alied Telesyn AT-8000S
- Accton Edge-Core ES-3528XA-v2
К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.
Необходимый функционал
Совершенно необходимым для коммутатора уровня доступа я считаю:
- DHCP Snooping
- Option 82 Insertion
- ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
- VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
- IP Source Guard (ф-я может называться по разному в зависимости от вендора)
- Loopback detect
- Port Security
- Storm Control
- MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)
Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.
Функционал, который желателен но обязательным не является
- Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
- Кабельный тестер
- Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
- SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
- Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)
Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.
Тесты
Определяю базовый набор тестов.
- Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
- Проверка работы IP Source Guard.
- Проверка работы ACL
- Атака Arppoison на коммутатор с "клиентского" порта.
- Проверка работы Loopback Detect
- Проверка работы Broadcast Storm Control (как?)
ALcatelLucent LS-6224
у меня для теста достался следующий коммутатор:
test# sh ver SW version 1.5.1.7 ( date 26-Feb-2008 time 17:04:09 ) Boot version 1.0.0.12 ( date 19-Oct-2006 time 09:07:37 ) HW version 00.00.01
DHCP Snooping + Opt. 82
Кофигурирую DHCPd (максимально простой конфиг):
...
class "port-1"
{
match if (
binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "201"
and
binary-to-ascii(10, 8, "/", suffix(option agent.circuit-id, 1)) = "1"
);
}
...
shared-network "clients" {
subnet 172.16.253.0 netmask 255.255.255.252 { }
subnet 10.200.0.0 netmask 255.255.0.0 {
option subnet-mask 255.255.0.0;
option broadcast-address 10.200.255.255;
option routers 10.200.0.1;
pool {
range 10.200.0.2;
allow members of "port-1";
}
pool {
}
}
interface range ethernet e(1,24) dot1x multiple-hosts security mode max-addresses port security max 10 port security discard switchport access vlan 201 loopback-detection enable service-acl input test2 exit ip dhcp snooping ip dhcp snooping vlan 201 interface ethernet g1 ip dhcp snooping trust ip source-guard ip source-guard tcam retries-freq 600 interface range ethernet e(1-24) interface vlan 1 ip address 172.16.253.2 255.255.255.0 exit ip default-gateway 172.16.253.1 ip access-list test2 permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0 permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0 deny any 10.200.0.0 0.0.255.255 any deny any 10.199.0.0 0.0.255.255 any permit any any any exit hostname test ip ssh server
