Switch, vlan, port security, melyiket?

Hálózati eszközök

Van most 3x24 portos switch nálunk, amiknek az össz portszáma alapvetően elég, csak épp egyik sem "okos", így aztán kissé macera a hálózatok szétválasztása. Ezt szeretném kiváltani egy(?) eszközzel. Alapvetően az lenne az elérendő cél, hogy egy-egy gép csak egy bizonyos porton kapjon szikrát.
A szempontok:

- nincs túl sok hely, 3U-ba el kéne férni
- vlan
- port security
- remote cli vagy valami hasonló hogy lehessen adatbázisból generálni és feltölteni a konfigot
- gigabit kell, 10G nem szempont
- "L2+", L3 nem szempont
- végig réz van, az üveg nem szempont
- ár (természetesen :D)

Jobb ha nem én keresek hozzá cuccot, mert elsősorban a szubjektív tapasztalatok érdekelnek, pl. hogy mekkora művészet a konfiguráció frissítése. Anno Cisco-nál ez nem volt igazi kihívás, de 10+ éve csináltam utoljára ilyet, azóta már sok minden megváltozhatott. A többi mai gyártó is gondolom tud már hasonlót.

Alapvetően annak sem vagyok ellene hogy 2x48 porttal kocogjunk tovább, ha az költséghatékonyabb.

  • 2067 megtekintés

( andrej_ v | 2017. 02. 02., cs – 09:17 )

Én mindenképp 2x48 port felé mennék. A Juniper EX2200-48T (48xGE + 4xSFP, 52 port azaz nem kombóportos játék) nevűt javaslom, sok éve használjuk és jól bevált. A nagytesója az EX3300-48T, ez már SFP+-t is tud azaz TGE.

Beszerzés itthon nem túl olcsó meg egyszerű, de már a német ebayen is jó áron találni EX2200-asat.

Attól függ, mennyire akarsz szeparálni. Ha egyszerűen az a cél, hogy minden gép csak a szerver felé beszélgethessen, de egymással ne, azt egyszer egyben is be lehet konfigurálni port security group-al. Ha különböző paraméterek szerint akarsz bizonyos klienseket bizonyos VLAN-okba rakni, akkor RADIUS felé mennék (én is épp ezen vagyok, jelenleg még mi is manuálisan, WEBGUI-n matatjuk a 12db HP 1910/1920 switch-et, de így is el lehet vele boldogulni)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Akkor miért nem használsz valami erre való megoldást?

Én anno mikor 4400-as Ciscokkal volt dolgom (telepakolva 48 rezes-gigaportos modullal), akkor a portok nagyrészét (ami véglények felé ment) bekonfiguráltam dynamic vlan-nak, és ment mellé egy vmps szerver egy linux szerveren.

Egy kisebb telephelyen, ahol kisebb épület volt, kevesebb végpont, ott csak egy db. 4400-as volt, meg talán még egy 2950 v 2960. Ott annyi volt a helyi infrastruktúra, hogy volt hálózat. Egy ubiquity rs pro volt letéve. Gyárilag OpenWRT.
Ott az volt a tűzfal, vmps szerver, etwas. Még táp se kellett neki, mert a 4400-nek olyan portjára volt dugva, ami adott neki poe-t.
A vmps, meg dhcp meg mindenféle konfig ami a helyi infrastruktúrának kellett, mind az RS Pro-ból ment.

A hozzátartozó adminisztráció meg egy sima postgresql adatbázisban.
cronjob időnként lekérdezte a tartalmat. Összevetette, hogy változás volt-e az előző állapothoz képest.
Ha volt, akkor újragenerálta a vmps, dhcp (ethers) stb. fájlokat, és feltöltötte az openwrt-be, majd megrúgta sighup-pal, amit meg kellett rúgni.

Persze a vmps is idejétmúlt. Officially.
Lehet, hogy már eszközt se találsz, ami vmps-t akarna.
Későbbi cisco-knál már lehet úgy konfigurálni portot ha jól emlékszem, hogy 802.1X-re megy, de ún. mac auth bypass módban.
Vagyis maga a switch lesz az eap kliens, és user+pw -ként a porton megjelenő gép mac címét fogja elküldeni.
A radius válasszal meg ha a megfelelő extra attributumok ki vannak töltve, akkor meg tudod mondani, hogy melyik vlan-ba kell kerüljön a kliens.

( _ventura_ v | 2017. 02. 02., cs – 09:31 )

"egy-egy gép csak egy bizonyos porton kapjon szikrát."

Erre jó lehet a 802.1x + radius szerver.

Fedora 25, Thinkpad x220

( mekflaj | 2017. 02. 02., cs – 09:38 )

Mindefelkeppen tobb switchben gondolkoz szerintem. Ezenkivul szerintem: legyen L3 is szempont, legalabb az egyik tudja; legyen stackelheto konyebb adminisztracio, az se art ha 802.1x tudja. Az se baj ha console portja van vagy/es tavoli consol eleressel rendelkezik.

En a Cisco termekekkel kezdenem mivel irtad hogy azzal van tapasztalatod. Tudom nem olcso. Ha van vezetek nelkuli halozat, IP telefon akkor szerintem az se lenne gond ha passiv/aktiv POE is tamogatott.

Az elsődleges cél (illetve a 0. :D) hogy a két vlan között NE legyen átjárás. Semmilyen. Ezért nem szempont az L3 funkciók megléte és/vagy minősége. Ja, és van egy-egy perhuszonnégyes IP tartomány és jónapot. Azért gondolkodom egy switchben és vlanokban, mert az utóbbi egy évben nagy volt a migráció az A hálóból a B hálózatba, és sajnos egyszer-egyszer kevés volt a 24 port. És momentán senki nem tudja megjósolni hogy lesz-e fordított irányú migráció, illetve lesz-e olyan, hogy a 48 port is kevés lesz. De ez már egy másik probléma.

Erhmrm... alapvetően adminisztratív, biztonsági szempontból annyi szükséges hogy ne kapjon a másik tartományból IP-t, ennél többre nem vágyom (bőven lenne mit javítani még a biztonságon mire oda jutunk hogy már ez is számottevő kérdés lenne). A két switch az azért (is) szimpatikus, mert talán nehezebb "veszélyes" helyre dugni egy kábelt. Bár arra ott a port security.

( htmm v | 2017. 02. 02., cs – 09:49 )

Nem irtad, hogy mire kell, rack tetejebe vagy access switchnek.
Ha accessnek akkor szerintem 2 * HP ProCurve 2920-48G-PoE, ha szerverek fognak rajta logni akkor ugyan ennek a PoE nelkuli verzioja viszont stacking modullal.

--
http://blog.htmm.hu/

Stackingnel a ket switch egynek latszik. Peldaul lehet az LACP egyik laba az egyik switchen, a masik meg a masikon. Egy management IP-d lesz az osszeshez, nem is igazan tudod kulon kezelni a switcheket.
Szerintem a legfobb elonye az, hogy nagyon konnyu igy egy single point of failure-t megszuntetni. (Mondjuk az is igaz, hogy ezekbol (es a 2910-bol sem) meg egyet sem lattam hirtelen megpusztulni.

--
http://blog.htmm.hu/

Namost ez sajnos nem ennyire egyertelmu HP termekeknel.
Regebbi modellek is stackelhetok, de ott ez meg teljesen mast jelentett, pl: csak a management lesz egy 'master' switchen keresztul, semmi cross-switch-LACP, raadasul a master nem is olyan konnyen failoverelheto, ha megpusztul...

Nem tudom, hogy ez mikor/hogyan/mennyire valtozott azota, nalunk 2-3 eves cuccok vannak (access switchnek), azokban meg se probaltuk ezt, mert nem hozott volna semmit...

( quash | 2017. 02. 02., cs – 10:24 )

Ha kevés rá a pénz, és nem fázol a használtaktól, ebay-ről:
Cisco 2960G-48-TS-L

De ha egy rack-ben vannak, és kell esetleg redundancia is (stack):
Cisco 3750G-{24|48)-TL-{S|E}

Ezeket elég jó áron be lehet szerezni, veszel 3 db-ot, ha bármi gond van, akkor ott van melegtartaléknak.
Ha újat veszel azt sem fogják 1 nap alatt kicserélni ...

A G régebbi széria, de tudásban lanbase image-el meg fog felelni az elvárásaidnak. Arra figyelj, hogy gigabites modellt nézz, G-be emlékeim szerint voltak 10/100-as modellek is még.
BTW, amit iPon-ról linkeltél terméket, az PoE képes. A nem PoE változat legalább 30%-al olcsóbb. Emlékeim szerint közbeszben legutóbb egy nagyobb volumenű beszerzésnél 700k alatt tudtunk c2960X-48TS-L-eket beszerezni.

2960G-s minden portja gigabites. A sima 2960-asok a 10/100-asok, max az uplink portok gigásak. A 2950-es szériában van, hogy a sima 2950 minden portja 10/100-as csak, a 2950G-nél az uplinkek már gigásak, de a 'normál' portok még mind 10/100-asok csak.
G-sek end of support-osak lesznek idén, X-eseknek van még 5 évük, ha ez szempont egy használtnál egyáltalán. Valószínű ezért is kezdenek most tömegével megjelenni a használt nyugati piacon jóárasítva a G-k.

( rts | 2017. 02. 02., cs – 10:58 )

Nem értem az egész topikot úgy ahogy van, miért ajánlanak a többiek csillagháborús cuccokat ide. Vagy valamit nem olvastam el.... :o
2 db D-Link DGS-1210-48 = nettó 160e
Meg egy Radius szerver hozzá, ha akarsz.

Amikor megprobaltam (meg regebben) ilyen kategoriabol valasztani a vege mindig az lett, hogy megmagyarazhatatlan dolgok tortentek de a switch cserejevel elmult.
Gondolom ez terheles fuggo is, de az ilyen switcheket en nem szivesen ajanlom.
(A konkret tipussal tapasztalatom nincs, de a fentiek miatt maradok a nagy gyartok termekeinel.)

--
http://blog.htmm.hu/

Erről nekem az a véleményem, hogy nagyon sokat fejlődtek a kínai gyártók az elmúlt 2-3 évben, hw és fw terén is. Ami régen volt nem számít, az számít ami most van.
Persze aki nem tudja levenni a vaskalapot és csak a ciscot tudja szajkózni, az fizessen nyugodtan ugyanazért 3-4x annyit. :)

Én már láttam érdekes dolgokat HP-val.

Így nem gondolnám vaskalapnak, hogy ha olyan helyre kell, ahol munka megy rajta és a kiesések forintba / ajróba / fontba / dollárba / jüanba átválthatóak és nem egy otthoni lanparty a célközönség, akkor még most is vagy cisco-t használnék, esetleg Junipert.
period.
Ráadásul cisco-nak is van valami lowend szériája.
Amikor anno a 2960-at sokallták egyik beszerzésnél, valamelyik okos főnök felvetette, hogy az is cisco, és kb. feleannyiba kerül.
Miért nem azt vesszük?!
Mondtam, hogy "lehet! de akkor ti fogjátok bekonfigurálni, és a szopások miatti hibakezelést is ti intézitek: engem nem is ismertek!"
Majd megvették a 2960-at.

Evvel természetesen nem azt mondom, hogy ne lehetne jó "alternatív" megoldásokat találni.
Az SDN egyre több helyen forró téma.
De ez meg jelenleg inkább ott elterjedt, ahol akkora sávszélességgel van dolgod, amihez sem a Cisco sem a Juniper nem képes elég nagy áteresztőképességű eszközöket gyártani.

Semmi vaskalapossag nincs a dologban szerintem. Lehet szerencsesnek lenni amikor egy nem neves gyarto jo termekebe nyul bele az ember és lehet forditva is.

Eddig egyetlen egy esetben sem volt gond amikor cisco lett hasznalva. Az ellenkezo esetre nem egy nem ketto peldat lehetne hozni.

Egyebkent is van egy szint ahol nem csak az eszkoz beszerzesi ara kelljen hogy dominaljon. Sajna, nemely vezeto és penzugyes ezt nem latja egybol, csak azt, hogy problema van a halozattal, lassu a net stb... a vegen meg csodalkozni, hogy az eredeti ar x szereset kell kifizetni, hogy az elvarasoknak megfeleloen mukodjon.

Az uzemeltetesi koltsegekrol meg ne is beszeltunk meg.