Komolyabb hálózati switch stack

Hálózati eszközök

Kb. 600-800 eszköz számára kellene egy komolyabb switch megoldás. Költözés alkalmával lecserélnénk a mostani switcheket (hp J4903a, dell 5424, mikrotik crs326, cisco sg300) valami egységesre. VLAN, LACP, RSTP-nél sokkal mélyebben nem foglalkoztam switchekkel, tehát az ismereteim is hiányosak.

Jelenleg nincs semmilyen portszűrés beállítva, de ezen mindenképp változtatni akarunk, legalább MAC szűrés legyen, de a 802.1x a cél.

Követelmények:

  • új eszközök
  • 10 Gbps Uplink (stackenként elég 1)
  • 801.2x támogatás
  • AAA
  • IPv6
  • mac szűrés
  • mac based vlan
  • stacking (802.1x használata esetén lehet fölösleges??)
  • SNMP trap
  • pozitívum lenne egy felület, ahol az egész stack hálózati forgalma átlátható

Fejlesztő cég vagyunk. A hálózatban gépek, eszközök, nyomtatók, egyszóval minden van. Nem egy homogén hálózat.

Eddig ezeket néztem ki:

Cisco 9200L-48T-4G-E

DLink DGS-1510-52X

DLink DGS-3000, 3130, 3420 (már az 1510 tudja ami nekünk kell, jó lenne tudni, a 3xxx széria miben jobb)

FS S3900-48T4S

A Cisco jelentősen drágább, de nincs kizárva, ha a DLink és FS annyival gyengébbek lennének.

Valakinek van tapasztalata DLink vagy FS switchekkel?

  • 800 megtekintés

( slinky v | 2020. 03. 09., h – 17:42 )

FS S3900-48T4S -bol van par darabom, teszi a dolgat.... FW-t frissits benne latestre. Mac szures az felejtos - siman authold 802.1x -bol + guest vlan az azonositatlannak. az S3900 -al idaig 1 dolog bassza a csorom, sshv1 es weak ciphres..  mondjuk ezt ACL rendbrakja a mgmt halon

( quash | 2020. 03. 09., h – 17:57 )

Tudom hogy újat eszköz írtál, de azért nézd meg:
Cisco 3750X-et, kb. 120-130€-ért kapsz egy tápos POE verziót!
Ehhez durván 200€ a 2xSFP+ modul, EU-ból számlával.

10G linkeket mivel tervezed aggregálni?
kb. 300-350€-ért kapsz 48 portos Nexus 3K-kat!

Ha csak minden eszközből 1-et veszel tartalékba, u.a. tudja mintha újat vennél.

Ha érdekel, privátban küldök forrást (semmi közünk hozzájuk, csak mi is vásárolunk)

( _ventura_ v | 2020. 03. 09., h – 18:00 )

Mi használtunk/használunk dgs-3420 -as sorozatot. Nem rossz. Bár a mac based vlan-ra nem tudom tud-e. Akár kisebb L3 routingra is jó lehet, oroszok bővítettek OSPF képességekkel. 

Fedora 42, Thinkpad x280

Háát ez hosszú történet :D

Annó mikor megvettük volt egy 6 switches stack. Voltak gondok, mikor a stack némely eleme gondolt 1et és újraindult. Nagy valószínűséggel a kínai Direct Attach kábelnek tudtuk be, mert mikor lecseréltük mindent SFP+ modulokra nem volt gond. Persze mivel mi orosz beta FW-ket használtunk/használunk az sem elképzelhetetlen, hogy azokkal lett volna gond.

Most is megy belőlük 3db de csak már sima L2 switch ként, pár port security vel, meg IP ACL-ekkel. Semmi gond nincsen velük.

Fedora 42, Thinkpad x280

Mi is üzemeltetünk egy 6 elemű DGS-3420-52T stack-et. Ez is produkált régebben olyant, hogy véletlenszerűen újraindult. Nem túl gyakran, de azért bosszabtó volt, mert bizonyos eszközök nem szerették a váratlan pillanatnyi kiesést.

Arra jutottunk, hogy mindig az után történt (nem sokkal), amikor a webes felületen konfiguráltunk valamit. Aztán leszoktunk a webesről, csak CLI-t hasznáunk, azóta nincs baja.

Sajnos az általad igényelt szolgáltatások színvonaláról nem tudok nyilatkozni, az ügyfélnél egyiket sem használják. Kézi VLAN-okat is mi alakítottunk ki mikor oda kerültünk, mert kaotikus és kezelhetetlen volt 500 berendezés 1 layer 2 domain-ben...

Ha nekem kellene most választani, valami használt Cisco szettet próbálnék venni a fenti helyett ehhez az ügyfélhez. Lehet 5 évente cserélve is olcsóbb, mint az újonnan vett Cisco a teljes élettartamra vetítve. De biztosan tudja amit kell és jól működik. Mondjuk ez kiszámolható pontosan.

dlink 34xx-rol rengeteg sztorim van... pl. gvrp es lacp egyutt nem nyero :) anelkul meg kezzel reszelheted a vlanokat switchenkent, vagy lemondasz az lacp-rol. meg neha elfelejt 1-1 vlant tovabbitani, de a reboot megoldja :)  de a supportjuk legalabb segitokesz.

vannak pozitivumai is, pl. a beepitett hosszmeres es link detect erparonkent, es jol stackelheto DA kabellel. elvileg ip acl-t is tudsz vele csinalni l2-n, bar ezt vegul nem probaltuk ki.

a cli-je eleg erdekes, nem hasonlit se hp se cisco szintaktikara, de idovel hozza lehet szokni. ami fura, hogy 1 portot berakhatsz untaggedben egyszerre tobb vlanba is, ami nyilvan nem fog mukodni, de engedi... szoval kezzel ki is kell venni a masikbol, ha vlant modositasz. ez ilyen wtf.

mi irtunk hozza sajat webes kozponti managementet, es az operatorok onnan matatjak inkabb, abban le vannak kezelve ezek...

( akoscomp | 2020. 03. 09., h – 20:53 )

Mivel a DSG-1510 jóval lejjebb van mint a cisco 9200, megnéztem mi van a Cisco-nak hasonló kategóriában:

Cisco SF550X-48-K9-EU

Úgy nézem ez is tud mindent amire szükségünk lenne.

Ez a Cisco SG, SF ... szériát inkább engedd el!, ez is jóval lejjebb van mint 9200 (vagy bármilyen más Catalyst).
Ezek tényleg arra jók hogy egyet leraksz egy kis céghez.

Voltan olyan SG350 amin VLAN-t módosítottunk egy porton és el crash-elt ..., CLI egy katasztrófa.
De azért hogy mondjak pozitívat is, SG300-ból van egy csomó, amit 1x leraktunk, és kb. el is felejtettük őket.

Cisco-ból Catalyst alatt nem szabad semmit sem venni! :)

( gyuri23 | 2020. 03. 10., k – 06:49 )

Ezt árban szvsz nem tudja verni senki https://mikrotik.com/product/crs354_48p_4s_2q_rm

Nekem van egy 200 gépes hálózatom, egy ilyen a core https://mikrotik.com/product/crs317_1g_16s_rm szűk éve megy 0 problémával.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Úgy tudom már tudja:

https://mindenamimikrotik.hu/mikrotik-changelog-osszefoglalo-2019-juliu…

Dot1X: Régi adósságát törlesztette a MikroTik azzal, hogy végre implementálták a 802.1X szabványt a RouterOS-ben. A router működhet supplicant-ként (azaz bejelentkezhet más eszközre) autentikálóként (azaz fogadhatja más eszközök 802.1X autentikációs kéréseit). Tervezem, hogy a témakörről majd bővebben írok, de addig is a wiki-n megtalálható a leírás: https://wiki.mikrotik.com/wiki/Manual:Interface/Dot1x

 

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( akoscomp | 2020. 03. 10., k – 14:14 )

Mit használtok a switch-ek forgalmának monitorizálására?

Mi zabbix-ot, ami snmp-n olvasta ki az adatokat. De el tudnék képzelni jobbat is.

( Mik v | 2020. 03. 10., k – 17:53 )

Szerkesztve: 2020. 03. 10., k – 18:05

Cisco es DLink kozott megneznek par HP-t is...

De ennyi vegponthoz azert nem artana valami terv fele. Gondolom nem 1 rendezobe lesznek, hol aggregalod? Fanless? Milyen optika? Cat6/Cat7? Reszben wifi lehet olcsobb? Vagy nem... Ki/hogyan manageli a tizenx switchet? Jobb ha stack hogy kevesebb legyen a management overhead vagy lehet minden kulon-kulon mert ugyse fog valtozni? Stack helyett modularis? Stb

Még nincs meg a helyszín, de ha megvan a helyszín, 2 hónap marad befejezni, tehát nem rózsás a helyzet. Ezért nincs terv.

Ha megvan a switch model, akkor onnan lehet haladni a konfiggal, tesztekkel, stb. és ha megvan a helyszín, akkor már lehet tervet is készíteni.

Az aggregálás és az optika már adott. A Stack hasznosnak tűnik, és HP-ból amit néztem az 4 switch-et támogatott egy stack-be.