Сравнение коммутаторов

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску

Сравнение коммутаторов.

В связи с тем, что у меня закончились запасы DES-35{26|50}, остро встал вопрос о замене. Из кандидатов на замену:

  • Alcatel-Lucent LS-6224
  • Dlink DES -3028 (у меня его нет в наличии, вместо него вцелом аналогичный DES-3526 - тесты делались много раз.)
  • Alied Telesyn AT-8000S
  • Accton Edge-Core ES-3528XA-v2


К сожалению, я не имею информации о закупочных ценах, но по моим данным самый дешевый и коммутаторов - Accton Edge-Core ES-3528XA-v2
Все коммутаторы имеют 24 порта 10/100 и 2-4 порта combo.


Необходимый функционал

Совершенно необходимым для коммутатора уровня доступа я считаю:

  1. DHCP Snooping
  2. Option 82 Insertion
  3. ACL (фильтрация на уровне номера порта tcp/udp и номеров протоколов ip считаю вполне достаточной)
  4. VLAN (число 64 считаю вполне достаточно для коммуттатора который не планируется как транзитный)
  5. IP Source Guard (ф-я может называться по разному в зависимости от вендора)
  6. Loopback detect
  7. Port Security
  8. Storm Control
  9. MSTP с возможностью полной блокировки любых STP-пакетов на клиентских портах. (этот момент сомнителен, коммутаторы на доме почти всегда имеют только один аплинк)

Описанный функционал вытекает из того факта, что используется схема влан-на-группу-домов. Это с одной стороны, позволяет разгрузить агрегатоы (недешевые), с другой - налагает повышенные требования на коммутаторы досупа. Дискуссия о достоинствах или недостатоках этой схемы перед схемой влан-на-абонента выходит за пределы этой статьи.

Функционал, который желателен но обязательным не является

  1. Авторизация доступа на коммутатор с использованием RADIUS-сервера. С разграничением полномочий для предоставления досупа низкоквалифицированному персоналу без возможности внесения изменений в конфигурацию.
  2. Кабельный тестер
  3. Возможность снимать информацию о маках коммутатора и о состояни DHCP Snooping database по SNMP
  4. SNMP v3, ssh (вместо телнета), ACL на интерфейс управления коммутатором, получение времени по ntp, пересылка сообщений на удаленный syslog.
  5. Поддержка "китайских" SFP. (Возиться с программатором безплатно не хочется.)

Отдельно отмечу, что на данный момент работа с мультикастом не требуется, и в связи с полным отсутвием опыта у меня в этой области, от тестирования пока отказался.

Тесты

Определяю базовый набор тестов.

  • Получения ip адреса тестовым компьютером на основе данных коммутатор-влан-порт.
  • Проверка работы IP Source Guard.
  • Проверка работы ACL
  • Атака Arppoison на коммутатор с "клиентского" порта.
  • Проверка работы Loopback Detect
  • Проверка работы Broadcast Storm Control (как?)

1111

test# sh run
interface ethernet e1
port storm-control broadcast enable
exit
interface ethernet e1
port storm-control broadcast rate 100
exit
no spanning-tree
interface ethernet e2
description "---=== Access-Port=2 ===---"
exit
interface range ethernet e(1,24)
dot1x multiple-hosts
exit
interface ethernet e1
port security mode max-addresses
exit
interface ethernet e1
port security max 10
exit
interface range ethernet e(1,24)
port security discard
exit
interface ethernet e24
switchport mode customer
exit
interface range ethernet g(1-4)
switchport mode trunk
exit
vlan database
vlan 201-224,1000
exit
interface ethernet e1
switchport access vlan 201
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 201
exit
interface ethernet e2
switchport access vlan 202
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 202
exit
interface ethernet e3
switchport access vlan 203
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 203
exit
interface ethernet e4
switchport access vlan 204
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 204
exit
interface ethernet e5
switchport access vlan 205
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 205
exit
interface ethernet e6
switchport access vlan 206
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 206
exit
interface ethernet e7
switchport access vlan 207
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 207
exit
interface ethernet e8
switchport access vlan 208
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 208
exit
interface ethernet e9
switchport access vlan 209
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 209
exit
interface ethernet e10
switchport access vlan 210
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 210
exit
interface ethernet e11
switchport access vlan 211
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 211
exit
interface ethernet e12
switchport access vlan 212
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 212
exit
interface ethernet e13
switchport access vlan 213
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 213
exit
interface ethernet e14
switchport access vlan 214
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 214
exit
interface ethernet e15
switchport access vlan 215
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 215
exit
interface ethernet e16
switchport access vlan 216
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 216
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 217
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 218
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 219
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 220
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 221
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 222
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 223
exit
interface range ethernet g(1-4)
switchport trunk allowed vlan add 224
exit
ip dhcp snooping
ip dhcp snooping vlan 201
ip dhcp snooping vlan 202
ip dhcp snooping vlan 203
ip dhcp snooping vlan 204
ip dhcp snooping vlan 205
ip dhcp snooping vlan 206
ip dhcp snooping vlan 207
ip dhcp snooping vlan 208
ip dhcp snooping vlan 209
ip dhcp snooping vlan 210
ip dhcp snooping vlan 211
ip dhcp snooping vlan 212
ip dhcp snooping vlan 213
ip dhcp snooping vlan 214
ip dhcp snooping vlan 215
ip dhcp snooping vlan 216
ip dhcp snooping vlan 217
ip dhcp snooping vlan 218
ip dhcp snooping vlan 219
ip dhcp snooping vlan 220
ip dhcp snooping vlan 221
ip dhcp snooping vlan 222
ip dhcp snooping vlan 223
ip dhcp snooping vlan 224
interface ethernet g1
ip dhcp snooping trust
exit
interface ethernet g2
ip dhcp snooping trust
exit
interface ethernet g3
ip dhcp snooping trust
exit
interface ethernet g4
ip dhcp snooping trust
exit
ip source-guard
ip source-guard tcam retries-freq 600
interface range ethernet e(1-24)
loopback-detection enable
exit
interface vlan 1
ip address 172.16.253.2 255.255.255.0
exit
ip default-gateway 172.16.253.1
ip access-list test1
permit ip 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
permit ip 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
deny ip 10.200.0.0 0.0.255.255 any
deny ip 10.199.0.0 0.0.255.255 any
permit ip any any
exit
ip access-list permit
permit ip any any
exit
ip access-list test2
permit any 10.200.0.0 0.0.255.255 10.200.0.1 0.0.0.0
permit any 10.199.0.0 0.0.255.255 10.199.0.1 0.0.0.0
deny any 10.200.0.0 0.0.255.255 any
deny any 10.199.0.0 0.0.255.255 any
permit any any any
exit
interface ethernet e1
service-acl input test2
exit
hostname test
logging 172.16.253.1 port 214 severity notifications  description test_syslog
username dimar password 4510891ec4ee6fd75dff09d9867847d2 level 15 encrypted
username sirmax password a295dae6bd4c30a942b7ac36ac6081df level 15 encrypted
ip ssh server
snmp-server view ALL iso included
snmp-server community MON ro view ALL
snmp-server host 172.16.253.1 MON traps 2
no ip http server