Сравнение коммутаторов

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску

Сравнение коммутаторов.

В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:

  • Alcatel-Lucent LS-6224
  • Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
  • Alied Telesyn AT-8000S
  • Accton Edge-Core ES-3528XA-v2


К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.


Необходимый функционал

Совершенно необходимым для коммутатора уровня доступа я считаю:

  1. DHCP Snooping
  2. Option 82 Insertion
  3. ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
  4. VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
  5. IP Source Guard (ф-я может называться по разному в зависимости от вендора)
  6. Loopback detect
  7. Port Security
  8. Storm Control
  9. MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)

Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.

Функционал, который желателен но обязательным не является

  1. Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
  2. Кабельный тестер
  3. Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
  4. SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
  5. Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)

Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.

Тесты

Определяю базовый набор тестов.

  • Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
  • Проверка работы IP Source Guard.
  • Проверка работы ACL
  • Атака Arppoison на коммутатор с "клиентского" порта.
  • Проверка работы Loopback Detect
  • Проверка работы Broadcast Storm Control (как?)