L2/L3 switch

[Mirek Prýmek]

Tak pokud tě neoslovují ani ty další parametry, které jsem zmínil, tak v tom případě je ten NetGear pro tvé účely patrně dostatečně použitelné zařízení.

Jsou nejaky dalsi parametry krome toho CLI?

[Reklama]

[DgBd]

Tak pokud tě neoslovují ani ty další parametry, které jsem zmínil, tak v tom případě je ten NetGear pro tvé účely patrně dostatečně použitelné zařízení.

Jsou nejaky dalsi parametry krome toho CLI?

Nevím, jestli mám opakovat, to co jsem napsal, ale namátkou:

- textová konfigurace (kvůli diffům)
- popisky na portech
- centralizované AAA (autentizace, autorizace, accounting) přes TACACS+, RADIUS
- možnost použít ssh na další prvky v síti
- autorizace na portech - 802.1x
- port mirroring
- syslog

[Mirek Prýmek]

Nevím, jestli mám opakovat, to co jsem napsal, ale namátkou:

- textová konfigurace (kvůli diffům)
- popisky na portech
- centralizované AAA (autentizace, autorizace, accounting) přes TACACS+, RADIUS
- možnost použít ssh na další prvky v síti
- autorizace na portech - 802.1x
- port mirroring
- syslog

To vsechno (krome CLI) ale ten switch ma, pokud si spravne pamatuju

[vty]

Mirek Prýmek: Já bych ti doporučil 8 port switch TP-Link TL-SG2008 za cca 1600 Kč.
DgBd:Má to i CLI přes SSH (manuál pro samotné CLI má 169 stránek a je podobná syntaxi Cisek) :-) Z požadavků mimo CLI to nemá možnost použít ssh na další prvky v síti (pro access switche IMHO není třeba), jinak vše (obsolete protokol TACACS+ nepočítám, když podporuje 802.1x přes Radius).
Nebo o 8 stovek dražší model TL-SG3210, která ma navíc i 2 SFP sloty pro uplinky (CLI manuál pro něj už má 280 stránek).
Cenově se TP-Link switchům máloco přiblíží. Podotýkám, že znám Cisco a (bývalé) 3Com routery a switche a HP switche.
Samozřejmě pokud se v síti nemůžete obejít bez nějaké featurky Ciscové, tak nezbývá než jít do něčeho od nich.
Ale jako access switche (pokud nepotřebujete zrovna 10Gps rychlost) mají IMHO TP-Linky nejlepší poměr cena/výkon/vlastnosti.

[Mirek Prýmek]

Mirek Prýmek: Já bych ti doporučil 8 port switch TP-Link TL-SG2008 za cca 1600 Kč.

Hm, ten vypada dobre, ale nema dhcp snooping, coz u access switchu pozaduju.

[Reklama]

[vty]

Oprava mého předchozího příspěvku: ty TP-Linky neumí centralizované AAA, uživatelé se konfigurují přímo na zařízení.

[vty]

Hm, ten vypada dobre, ale nema dhcp snooping, coz u access switchu pozaduju.

Pak musíš přidat těch 8 stovek na TL-SG3210 ta ho má.

[Mirek Prýmek]

Pak musíš přidat těch 8 stovek na TL-SG3210 ta ho má.

A to uz jsem na stejne cene jako za ten Netgear

[DgBd]

Mirek Prýmek: Já bych ti doporučil 8 port switch TP-Link TL-SG2008 za cca 1600 Kč.
DgBd:Má to i CLI přes SSH (manuál pro samotné CLI má 169 stránek a je podobná syntaxi Cisek) :-) Z požadavků mimo CLI to nemá možnost použít ssh na další prvky v síti (pro access switche IMHO není třeba), jinak vše (obsolete protokol TACACS+ nepočítám, když podporuje 802.1x přes Radius).

To je zase... RADIUS neumí rozumným způsobem autorizaci. Takže bych s tím obsolete protokolem byl opatrný. Ostatně implementují ho i Juniper nebo HP. Právě kvůli autorizaci CLI příkazů.

[M.]

Ty TP-Link JetStreamy jsou relativně OK. Sice některé funkce nefungovaly jak měly, ale jinak rozumný kus železa. Pár lidí na ně nadává, že občas magicky vytuhly.
Já jsem před časem je zkoušel, tak se mi nelíbilo to, že v 802.1x neuměly dát port dynamicky do VLANy dle dat z RADIUSu, guest VLAN fungovala, ale po ověření vždy port šel do default VLAN na portu a ne dle radius požadavku někam dynamicky přidělit.
Potom, co považuji po pár atentátech za nutnost na access portu, tak nefungovala současně na jednom portu funkce BPDU guard a detekce loopback smyčky. Samostatně každá funkce šla OK (s touto dvojkombinací má problém řada switchů).
Ono je dost podobných switchů od různých výrorbců a podobných funkcí. Třeba i zmiňované Zyxelly, občas jsem použil jejich GS2200-24 a novější GS2210-24 řadu, což je něco podobného.
Dneska bych vedle funkcí pro DHCP snooping/guard pomalu i pátral po IPv6 ekvivalentech (aspoň RA guard).

[vty]

Mirek Prýmek: Já bych ti doporučil 8 port switch TP-Link TL-SG2008 za cca 1600 Kč.
DgBd:Má to i CLI přes SSH (manuál pro samotné CLI má 169 stránek a je podobná syntaxi Cisek) :-) Z požadavků mimo CLI to nemá možnost použít ssh na další prvky v síti (pro access switche IMHO není třeba), jinak vše (obsolete protokol TACACS+ nepočítám, když podporuje 802.1x přes Radius).

To je zase... RADIUS neumí rozumným způsobem autorizaci. Takže bych s tím obsolete protokolem byl opatrný. Ostatně implementují ho i Juniper nebo HP. Právě kvůli autorizaci CLI příkazů.

Máte pravdu spletl jsem si TACACS (RFC 1492) a TACACS+ (RFC draft).
Ani samotné Cisco tuším už TACACS nepodporuje.

[lubomir]

A dostanem 5 rocnu zaruku na hardver a softver pri znackach TP-LINK, ZYXEL, NETGEAR?

[M.]

Zyxel u většiny produktů pro firemní použití má 5 let nebo "doživotně" (či-li 5 let od oznámení o ukončení prodeje).
U některých typů je v ceně přímo NBD výměna za nový nebo zapůjčení stejného jiného, než to opraví.

[vty]

A dostanem 5 rocnu zaruku na hardver a softver pri znackach TP-LINK, ZYXEL, NETGEAR?

U TP-Linku je to podle prodejce. Někteří umí i 5-letou záruku. Bývalo to v ceně, ale dnes je to za příplatek tuším cca. 10% z ceny standardní 2-leté.
IMHO se nějaký NBD u této komodity nevyplatí, protože v případě HW výpadku musí člověk, co nejdřív uvést síť do provozu. U takhle levných komponent se vyplatí si jeden switch koupit navíc ( s počtem portů apod aby pokryl všemožné výpadky) a držet ho v rezervě a pořád to vyjde levněji než NBD.

[ednas]

Musis zadefinovat nekolik parametru, ktere pozadujes a pak z toho
vypadne mnozina zarizeni, co to splnuje.
U nas byly pozadavky na vykon a security L2/3-IPv4/6

- dhcp snooping/dhcpv6 snooping
- igmp/mld snooping
- ip source guard/ipv6 source guard
- RA guard
- STP filtering
- storm control
- dynamic arp inspection
- virtual chassis/multi chassis LAG
- voice vlan negotiation (LLDP/LLDP-MED0)
- GVRP
- Mac address bypass + 802.1x (vlan assignement per mac adress/per port)
  (taktez pocet tech klientu je per port limitovan!)
- TACACS+
- PIM, PIM6 support (na L3)
- dostatecny pocet ACE/ACL per port (aby to delal ASIC a ne CPU)

Pak byly pozadavky na switchovaci prip. routovanou propustnost,
tady hodne switchu s routovacim enginem pohorelo na L3
propustnosti multicastu pri porovnavani ve stejne kategorii
resp. modelove rade tj. to co u cisca/juniperu dalo nejaky vykon,
tak obdobny vykon kdyz uz, tak u HP dala az vyssi modelova rada (tj. cenove
se to zacalo dorovnavat k ciscu/juniperu).

Jinak pak pri testech, kdyz jsme meli nekolik ruznych vyrobcu na stole,
tak realita proti tomu co psali, ze to umi byla nekde jinde. Taktez
pri zapnuti vsech ficur to treba nektere boxy neutahli anebo zacali
se zacali chovat nestabilne atp.

Dalsi vec je, ze pokud se v tom zacnete hrabat, tak u spousty vyrobcu se
k parametrum jako L2/L3 multicast propustnost, 802.1x per port/vlan
limit, ACE limit per port atp. dopracujete az na zaklade primych dotazu na vyrobce.

Pro zajimavost, co jsem v rychlosti nasel:
http://computerworld.cz/testy/Test-10Gb-pristupove-switche-nejsou-jen-posunovaci-paketu-1-3900