simple DDoS protection device

Alexander Burnos

31 May 2008 31 May '08

6:54 a.m.

Добрый день, А существует ли какая-то мелкая DDoS protection железка, чтобы могла обработать мегабит этак 100. Возможно с минимум наворотов, но с возможностью отфильтровать icmp/udp/syn флуды в пределах этих 100 мбит? Про Cisco ADM/AGM модули я в курсе, щупал. Хочется что-то раз в 10 менее мощное и во столько же раз дешевое :) В общем есть ли коробка - дешевый аналог Detector/Guard модулей? Или может на таких объемах можно обойтись каким-нибудь решением на linux/bsd? -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Alexandre Snarskii

1 Jun 1 Jun

11:53 a.m.

On Sat, May 31, 2008 at 09:54:57AM +0300, Alexander Burnos wrote:

...

Добрый день,

А существует ли какая-то мелкая DDoS protection железка, чтобы могла обработать мегабит этак 100. Возможно с минимум наворотов, но с возможностью отфильтровать icmp/udp/syn флуды в пределах этих 100 мбит?

Про Cisco ADM/AGM модули я в курсе, щупал. Хочется что-то раз в 10 менее мощное и во столько же раз дешевое :)

В общем есть ли коробка - дешевый аналог Detector/Guard модулей?

Или может на таких объемах можно обойтись каким-нибудь решением на linux/bsd?

Основной вопрос в том, насколько автоматической реакции на DDoS хочется ;) Если "ручной" detection/filtering (соответственно, с довольно длительным временем реакции) вас устроит - посмотрите в сторону FreeBSD/pf, 100mbit даже не самая сильная машина выдержит вполне нормально (единственно - сетевухи стоит хорошие поставить). А если еще скрестить pf с carp/pfsync - то и автоматический failover себе обеспечите... Под linux тоже что-то есть, но я по нему не спец :( Второй вопрос в том, насколько вы себе можете позволить этот самый DDoS - например, если у вас всего 100Mbit к uplink'у и эти 100Mbit захлебнутся от DDoS'а на один из ресурсов - все остальные тоже пострадают, и вам в любом случае придется перекрывать ресурс "на уровне аплинка".. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Burnos

11:05 p.m.

Alexandre Snarskii wrote:

...

On Sat, May 31, 2008 at 09:54:57AM +0300, Alexander Burnos wrote:

...
А существует ли какая-то мелкая DDoS protection железка, чтобы могла обработать мегабит этак 100. Возможно с минимум наворотов, но с возможностью отфильтровать icmp/udp/syn флуды в пределах этих 100 мбит? Про Cisco ADM/AGM модули я в курсе, щупал. Хочется что-то раз в 10 менее мощное и во столько же раз дешевое :) В общем есть ли коробка - дешевый аналог Detector/Guard модулей? Или может на таких объемах можно обойтись каким-нибудь решением на linux/bsd? Основной вопрос в том, насколько автоматической реакции на DDoS хочется ;)

Хочется как можно более автоматической :)

...

Если "ручной" detection/filtering (соответственно, с довольно длительным временем реакции) вас устроит - посмотрите в сторону FreeBSD/pf, 100mbit даже не самая сильная машина выдержит вполне нормально (единственно - сетевухи стоит хорошие поставить). А если еще скрестить pf с carp/pfsync - то и автоматический failover себе обеспечите... Под linux тоже что-то есть, но я по нему не спец :(

OpenBSD/pf/pfsync/carp - уже есть в конфигурации. Теперь бы хотелось это все заставить реагировать на аномалии и фильтровать их, как это умеет detector/guard в автоматическом режиме :)

...

Второй вопрос в том, насколько вы себе можете позволить этот самый DDoS - например, если у вас всего 100Mbit к uplink'у и эти 100Mbit захлебнутся от DDoS'а на один из ресурсов - все остальные тоже пострадают, и вам в любом случае придется перекрывать ресурс "на уровне аплинка"..

Да, это понятно. В данном случае есть желание почистить трафик в пределах этих 100Mbit. Т.е. если будет флуд на 200Mbit, которые завалят канал - тогда уже к аплинку. Но если будет небольшой флуд, при котором общий трафик будет мегабит 80, скажем, 50 из которых будет паразитный трафик, то вот эти 50 и хотелось выявить и отфильтровать. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

2 Jun 2 Jun

6:50 a.m.

2008/6/2 Alexander Burnos :

...

OpenBSD/pf/pfsync/carp - уже есть в конфигурации. Теперь бы хотелось это все заставить реагировать на аномалии и фильтровать их, как это умеет detector/guard в автоматическом режиме :)

ну detector/guard наверное потому и стоят денег, что умеют делать много чего в автоматическом режиме :-) это мне напоминает весьма похожую переписку здесь же несколько лет назад - "а посоветуйте коммутатор, чтобы делал то же, что и Catalyst, и чтобы не горел. Только чтобы был дешевле" :-) На самом деле надо просто подумать, от каких атак хочется защищаться. Я не очень хорошо представляю себе, как сейчас обстоят дела с инструментарием, но возможно, проблему на ~90% можно решить относительно дешево относительно простыми средствами: 1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Burnos

7:30 a.m.

Hello! On Mon, Jun 02, 2008 at 09:50:03AM +0300, Vladimir Litovka wrote:

...

...
OpenBSD/pf/pfsync/carp - уже есть в конфигурации. Теперь бы хотелось это все заставить реагировать на аномалии и фильтровать их, как это умеет detector/guard в автоматическом режиме :) ну detector/guard наверное потому и стоят денег, что умеют делать много чего в автоматическом режиме :-) это мне напоминает весьма похожую переписку здесь же несколько лет назад - "а посоветуйте коммутатор, чтобы делал то же, что и Catalyst, и чтобы не горел. Только чтобы был дешевле" :-)

Ну я думаю что detector/guard прежде всего этих стоят денег потому что это Cisco :) Я не ищу подешевле и чтобы не горел, я ищу попроще и, соответственно, подешевле. Собственно, это даже не мне. Попросили посоветовать что-то для SMB-сегмента. Посмотрел на текущий GPL, guard/detector что standalone, что модулями обойдется под 100k$ на 1Gbit. А мне бы найти что-то в 10 раз пропорционально меньшее по обоим параметрам :) Допускаю, что таких и не существует в природе, но на всякий случай спросил.

...

1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются.

Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое. Хотя SMB SMBу рознь, конечно :) -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandr Turovsky

8:20 a.m.

Добрый день .

...

...
1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются.

Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое. Хотя SMB SMBу рознь, конечно :)

Очень не плох в этом плане Router OS от Микротика , я для небольшой локалки использовал ряд примеров с http://wiki.mikrotik.com/wiki/Drop_port_scanners http://wiki.mikrotik.com/wiki/L7 http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling ит.д. , удобны динамические листы блокировки ... и удобство настройки ... Насколько я знаю в этой оси стоит ядро Linux , фаервол похоже что iptables. Единственное что эта ОС стоит денег (~45$)

Vladimir Litovka

8:27 a.m.

2008/6/2 Alexander Burnos :

...

Ну я думаю что detector/guard прежде всего этих стоят денег потому что это Cisco :)

Ээээ, cisco живет не в вакууме и поверь - цены устанавливает не от фонаря

...

Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое.

"посоветуйте коммутатор с тем же функционалом, как у Catalyst, но с меньшим количеством портом и подешевле" :-) На самом деле, посмотри на семейство ASA: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod... например, ASA5520-AIP20-K9 - бандл ASA+IPS. Сигнатурный анализ, файрволл, поведенческий анализ (не в той мере, конечно, как у detector'а) - достаточно комплексная железка стоимостью около $16k. Вроде недорого? -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vlad Zabolotny

8:36 a.m.

Hello, Vladimir Litovka.

...

2008/6/2 Alexander Burnos :

...
Ну я думаю что detector/guard прежде всего этих стоят денег потому что это Cisco :)

Ээээ, cisco живет не в вакууме и поверь - цены устанавливает не от фонаря

...
Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое.

"посоветуйте коммутатор с тем же функционалом, как у Catalyst, но с меньшим количеством портом и подешевле" :-)

Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

...

На самом деле, посмотри на семейство ASA: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod... например, ASA5520-AIP20-K9 - бандл ASA+IPS. Сигнатурный анализ, файрволл, поведенческий анализ (не в той мере, конечно, как у detector'а) - достаточно комплексная железка стоимостью около $16k. Вроде недорого?

--

/doka

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Vlad Zabolotny (VSZ1-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Burnos

8:51 a.m.

Hello! On Mon, Jun 02, 2008 at 11:27:28AM +0300, Vladimir Litovka wrote:

...

На самом деле, посмотри на семейство ASA: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/prod... например, ASA5520-AIP20-K9 - бандл ASA+IPS. Сигнатурный анализ, файрволл, поведенческий анализ (не в той мере, конечно, как у detector'а) - достаточно комплексная железка стоимостью около $16k. Вроде недорого?

5520 жирновато будет наверное, а вот 5510 может и подойти. Вот только я не знаю насколько эффективен AD на AIP-SSM. А в первую очередь интересует именно эта фича. Надо будет погонять.. В общем я понимаю что вопрос действительно, наверное, в стиле "каталист, только подешевле" :) Но именно это и нужно. Для серьезного enterprise/SP я бы смотрел на 6500/ADM/AGM, ASA+IPS конечно и не задавал бы глупых вопросов :) Но вот тут такая задачка. Ну раз нету альтернативных вариантов, значит нету. -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir A. Podgorny

8:52 a.m.

Vlad Zabolotny пишет:

...

Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью. ЗЫ вариант не от Cisco - Extreme X450a. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kiselev

9:21 a.m.

On Mon, Jun 02, 2008 at 11:52:21AM +0300, Vladimir A. Podgorny wrote:

...

...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

9:23 a.m.

2008/6/2 Alexander Burnos :

...

5520 жирновато будет наверное, а вот 5510 может и подойти. Вот только я не знаю насколько эффективен AD на AIP-SSM. А в первую очередь интересует именно эта фича. Надо будет погонять..

поспрошай у крупных дистрибуторов типа мегатрейда - у них такое может быть на складе, может дадут погонять -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vlad Zabolotny

9:32 a.m.

Hello, Dmitry Kiselev.

...

On Mon, Jun 02, 2008 at 11:52:21AM +0300, Vladimir A. Podgorny wrote:

...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится. -- Vlad Zabolotny (VSZ1-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir A. Podgorny

9:36 a.m.

Vlad Zabolotny пишет:

...

...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper. Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Т.е. по второй части замечаний нет? :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vlad Zabolotny

9:48 a.m.

Hello, Vladimir A. Podgorny.

...

Vlad Zabolotny пишет:

...
...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper. Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Т.е. по второй части замечаний нет? :)

Если ты про Extreme X450a, теже минусы, что и у Cisco, за исключением количества портов и цены, но возникает вопрос о оффициальной поддержке. -- Vlad Zabolotny (VSZ1-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir A. Podgorny

11:31 a.m.

Vlad Zabolotny пишет:

...

Hello, Vladimir A. Podgorny. Если ты про Extreme X450a, теже минусы, что и у Cisco, за исключением количества портов и цены, но возникает вопрос о оффициальной поддержке.

Вот уж ХЗ - в тех вопросах, которые воникали по ходу, местные умельцы оказались вполне копенгаген, а странных педалей как-то не возникло... Шайтан? ЗЫ помимо чистого L2 свичинга еще пользуется и маршрутизация (BGPv4). =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

12:32 p.m.

2008/6/2 Vlad Zabolotny :

...

Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir A. Podgorny

12:37 p.m.

Vladimir Litovka пишет:

...

2008/6/2 Vlad Zabolotny :

...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html

Дядя Вова, спасибо, что ограничился всего лишь VSS-ом, а не открыл нам глаза на Nexus... :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

12:50 p.m.

Да пожалуйста, заходи еще :-) 2008/6/2 Vladimir A. Podgorny :

...

Vladimir Litovka пишет:

...
2008/6/2 Vlad Zabolotny :

...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html

Дядя Вова, спасибо, что ограничился всего лишь VSS-ом, а не открыл нам глаза на Nexus... :)

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir A. Podgorny

12:51 p.m.

Vladimir Litovka пишет:

...

Да пожалуйста, заходи еще :-)

Тогда с тебя чаек - и завтра с утреца заскочу... :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

12:56 p.m.

только не до ciscoexpo :-) у меня как у студента - всегда не хватает крайней ночи ;-) 2008/6/2 Vladimir A. Podgorny :

...

Vladimir Litovka пишет:

...
Да пожалуйста, заходи еще :-)

Тогда с тебя чаек - и завтра с утреца заскочу... :)

Alexandre Snarskii

1:16 p.m.

On Mon, Jun 02, 2008 at 03:32:46PM +0300, Vladimir Litovka wrote:

...

...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html

3750E с SFP-портами не бывает, а 3560E-12SD (12 SFP2 module slots, 2 10-Gigabit Ethernet X2 module slots) - нестекируемый... И, btw, в 3[67]50E наконец починили проблему со счетчиками на vlan'ах (SVI aka interface Vlan) или они по прежнему считают только processor-switched traffic ? В 3[567]xx это было hardware limitation... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrey Zarechansky

1:27 p.m.

On Mon, Jun 02, 2008 at 12:21:10PM +0300, Dmitry Kiselev wrote:

...

On Mon, Jun 02, 2008 at 11:52:21AM +0300, Vladimir A. Podgorny wrote:

...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Подозреваю, что говорится скорее о паре ME-3400G-12CS-[A/D]. Если вчитаться в data sheet, фраза рядом с GLE-GE-100FX позволяет предположить поддержку 100Base-FX в dual-purpose портах. -- ZA-RIPE||ZA1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrey Zarechansky

1:33 p.m.

On Mon, Jun 02, 2008 at 12:32:59PM +0300, Vlad Zabolotny wrote:

...

...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Единственная поза когда 10G действительно нужен для коммутатора в который включаются клиенты, последующие прямое включение в DWDM. Иначе, если у тебя клиенты потребляют больше 4G, тебе давно нужно было устновить на этом сайте полноценный PE. -- ZA-RIPE||ZA1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kiselev

1:33 p.m.

On Mon, Jun 02, 2008 at 05:16:53PM +0400, Alexandre Snarskii wrote:

...

И, btw, в 3[67]50E наконец починили проблему со счетчиками на vlan'ах (SVI aka interface Vlan) или они по прежнему считают только processor-switched traffic ? В 3[567]xx это было hardware limitation...

Нет, не починили -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kiselev

1:36 p.m.

On Mon, Jun 02, 2008 at 04:33:25PM +0300, Andrey Zarechansky wrote:

...

...
...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Единственная поза когда 10G действительно нужен для коммутатора в который включаются клиенты, последующие прямое включение в DWDM. Иначе, если у тебя клиенты потребляют больше 4G, тебе давно нужно было устновить на этом сайте полноценный PE.

Это с точки зрения SP и то далеко не всегда, а в Ent оно очень поразному бывает. ЦОДы там, всякие, тоже вполне могут хотеть raw ip, а то и вообще layer2. Для файлопомойки, например. -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kiselev

1:38 p.m.

On Mon, Jun 02, 2008 at 04:27:48PM +0300, Andrey Zarechansky wrote:

...

...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Подозреваю, что говорится скорее о паре ME-3400G-12CS-[A/D]. Если вчитаться в data sheet, фраза рядом с GLE-GE-100FX позволяет предположить поддержку 100Base-FX в dual-purpose портах.

А они разве умеют StackWise[Plus]? Это я где-то провтыкал? -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Burnos

3:16 p.m.

Hello! On Mon, Jun 02, 2008 at 12:23:12PM +0300, Vladimir Litovka wrote:

...

2008/6/2 Alexander Burnos :

...
5520 жирновато будет наверное, а вот 5510 может и подойти. Вот только я не знаю насколько эффективен AD на AIP-SSM. А в первую очередь интересует именно эта фича. Надо будет погонять.. поспрошай у крупных дистрибуторов типа мегатрейда - у них такое может быть на складе, может дадут погонять

Оно у меня есть под боком в лабе, надо только теперь не полениться это сделать :) -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexander Burnos

3:39 p.m.

Hello! On Mon, Jun 02, 2008 at 03:32:46PM +0300, Vladimir Litovka wrote:

...

это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html

Кстати в случае VSS1440 мне удалось загнать IOS в coredump c последующим ребутом и выпаданием в rommon, по крайней мере на standby свиче. Я особо сильно его не крутил, но пока что попахивало сыроватостью решения. Хотя слышал и про успешный опыт его использования. -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

4:14 p.m.

On Mon, Jun 02, 2008 at 04:33:25PM +0300, Andrey Zarechansky wrote:

...

On Mon, Jun 02, 2008 at 12:32:59PM +0300, Vlad Zabolotny wrote:

...
...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Единственная поза когда 10G действительно нужен для коммутатора в который включаются клиенты, последующие прямое включение в DWDM. Иначе, если у тебя клиенты потребляют больше 4G, тебе давно нужно было устновить на этом сайте полноценный PE.

Ой, Зорик, вы таки не знаете толк в извращениях :) Это таки далеко не единственная поза, в которой l2-свитч с 10g весьма полезен ;) Например, если траффика между клиентами мало, а ставить нормальный PE по какой-то причине нет смысла (например, с площадки все равно нет второй оптической трассы. Или места/электричества не хватает. Или и то и другое вместе..) - решение вполне имеет право на существование. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Dmitry Kiselev

3 Jun 3 Jun

7:10 a.m.

Добрый день! On Mon, Jun 02, 2008 at 06:39:31PM +0300, Alexander Burnos wrote:

...

...
это стекируемые коммутаторы? либо 3750E, либо VSS1440: http://www.cisco.com/en/US/products/ps9336/index.html

Кстати в случае VSS1440 мне удалось загнать IOS в coredump c последующим ребутом и выпаданием в rommon, по крайней мере на standby свиче. Я особо сильно его не крутил, но пока что попахивало сыроватостью решения. Хотя слышал и про успешный опыт его использования.

Багами в SXH и последних SR уже никого не удивишь. Вот буквально только что, после запуска SRC1 на тестовом RSP720 сразу же имеем: *Jun 3 09:58:32.835: %SW_VLAN-4-VTP_INTERNAL_ERROR: VLAN manager received an internal error 2 from vtp function vtp_set_update_ip: Illegal input -Traceback= 854BF84 854C690 9D10728 9D03A6C 84CD5D8 84F8598 84F8B9C 88D13E0 88CB110 88C2D0C 88CDC54 88CDED0 88CDFFC 8551E3C 8558AB8 A68F75C PS опять пошел долбить TAC -- Dmitry Kiselev =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Maxim Tuliuk

11:46 a.m.

2008/6/2 Andrey Zarechansky :

...

On Mon, Jun 02, 2008 at 12:32:59PM +0300, Vlad Zabolotny wrote:

...
...
...
...
Кстати, насчет коммутаторов имени Cisco, "посоветуйте пожалуйста коммутатор с тем же набором портов" как в EX 4200-24F имени Juniper.

Боюсь, что Cisco в данной ситуации может предложить стек из двух коммутаторов с половинной емкостью.

Если намек на 3750G-12TS, то не совесем оно получится: этот Catalyst умеет только 1000base-X и не поддерживает 100base-FX.

Да и с 10G Uplin-ками ничего не получится.

Единственная поза когда 10G действительно нужен для коммутатора в который включаются клиенты, последующие прямое включение в DWDM. Иначе, если у тебя клиенты потребляют больше 4G, тебе давно нужно было устновить на этом сайте полноценный PE.

Не совсем - крупные лавки УЖЕ хотят "Layer 2 transport на скорости 1GB" за разумные деньги; а если на каждого такого клиента ставить по PE, то никакого бюджета не хватит :) и сумма для клиента будет не такая уж разумная -- Best wishes, Maxim

Roman Emelyanov

3:16 p.m.

Hi, 3 июня 2008 г. 14:46 пользователь Maxim Tuliuk написал:

...

2008/6/2 Andrey Zarechansky :

...

Не совсем - крупные лавки УЖЕ хотят "Layer 2 transport на скорости 1GB" за разумные деньги; а если на каждого такого клиента ставить по PE, то никакого бюджета не хватит :) и сумма для клиента будет не такая уж разумная

"Для каждого такого клиента" есть домонеты. Там любую "разумную" скорость на порту сделают "за разумные деньги". -- R:Em =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

6045

Age (days ago)

6048

Last active (days ago)

List overview

Download

32 comments

10 participants

participants (10)

Alexander Burnos
Alexandr Turovsky
Alexandre Snarskii
Andrey Zarechansky
Dmitry Kiselev
Maxim Tuliuk
Roman Emelyanov
Vlad Zabolotny
Vladimir A. Podgorny
Vladimir Litovka