Перейти до

Акция: бомбовый коммутатор доступа Huawei 2326 c парой модулей всего за 235 уе!


Рекомендованные сообщения

Здравствуйте, коллеги.

Компания OmniLink предлагает Вам один из лучших коммутаторов для доступа по соотношению "цена-качество" - Huawei LS-S2326TP-EI вместе с парой модулей SFP WDM 1G 3 км по акционной цене: 240 уе!

А при покупке 5 и более наборов "коммутатор + пара модулей" - 235 уе!!!

 

Более подробно о коммутаторе можно почитать здесь

http://www.omnilink....vnia/ls-s2326tp

 

или в датащите:

 

http://upload.com.ua...rochures V1.pdf

Ссылка на сообщение
Поделиться на других сайтах

Уже несколько коллег спрашивало про грозозащиту.

Вот что отвечает сам хуавей:

"The S2300 adopts the Huawei patented lightning protection technologies to protect the equipment in atrocious environments, for example, when cables are laid outdoor without cabling racks. The lightning protection technologies reduce the probability of damages caused by lightning and increase the safety factor by 30 times, thus greatly improving the device reliability."

Ну и более конкретный ответ:

Грозоразрядники стоят на клиентских портах. Один разрядник на 4 порта. Защита - до 6Кв

Коммутатор при установке должен быть заземлен.

 

Если есть еще какие-то дополнительные вопросы - задавайте. Ну и самый лучший способ удостовериться в прекрасных свойствах данных коммутаторов - взять протестировать в Ваших конкретных условиях. Свитч действительно отличный, особенно если Вы планируете внедрять дополнительные сервисы, кроме интернета (голос, тв).

Ссылка на сообщение
Поделиться на других сайтах

Этот свич может фильтровать арп-анонсы абонента так, чтобы пропускались арп-пакеты только с объявлением ip этого абонента?

Мы используем привязку ip-port, при этом абонент через свой порт может слать пакеты только со своим ip (это делается с помощью source-ip l3-acl). Также, во избежание арп-спуфинга, он может через свой порт слать арп-анонсы тоже только со своим ip (это делается с помощью pcf-acl). Данный функционал отлично реализован у длинка, а как с этим у х#$вея?

Ссылка на сообщение
Поделиться на других сайтах

Этот свич может фильтровать арп-анонсы абонента так, чтобы пропускались арп-пакеты только с объявлением ip этого абонента?

Мы используем привязку ip-port, при этом абонент через свой порт может слать пакеты только со своим ip (это делается с помощью source-ip l3-acl). Также, во избежание арп-спуфинга, он может через свой порт слать арп-анонсы тоже только со своим ip (это делается с помощью pcf-acl). Данный функционал отлично реализован у длинка, а как с этим у х#$вея?

Если Вы используете DHCP, то включается DHCP снупинг и команда:

dhcp snooping check arp enable

 

Как говорил - возьмите попробуйте.

Ссылка на сообщение
Поделиться на других сайтах

Какое отношение имеет дхцп к фильтрам свича? дхцп выдает абоненту автоматом адрес, только и всего. А что помешает абоненту подставить себе адрес ручками и не дать ему гадить в сеть? И что помешает ему подставить себе IP соседа/шлюза/сервера, или поставить генератор арп-флуда, который выдаст в сеть за пару секунд 100тыс арп-анонсов?

Или этот "свич-бомба" позиционируется исключительно для операторов, у которых влан-пер-юзер? Ну так таких в Украине единицы...

 

В свое время напробовались всяких свичей - каталисты/экстримы/деллы/иджкоры/планеты. Резать арп-спуфинг может только длинк, все остальное нет. Была маленькая надежда, что под нужды Киевстара х#$вей напрягся и сделал такой функционал. Жаль, если нет.

Ссылка на сообщение
Поделиться на других сайтах

Какое отношение имеет дхцп к фильтрам свича? дхцп выдает абоненту автоматом адрес, только и всего. А что помешает абоненту подставить себе адрес ручками и не дать ему гадить в сеть? И что помешает ему подставить себе МАС соседа/шлюза/сервера, или поставить генератор арп-флуда, который выдаст в сеть за пару секунд 100тыс арп-анонсов?

Или этот "свич-бомба" позиционируется исключительно для операторов, у которых влан-пер-юзер? Ну так таких в Украине единицы...

 

В свое время напробовались всяких свичей - каталисты/экстримы/деллы/иджкоры/планеты. Резать арп-спуфинг может только длинк, все остальное нет. Была маленькая надежда, что под нужды Киевстара х#$вей напрягся и сделал такой функционал. Жаль, если нет.

 

Имеет очень прямое, для решения Вашей задачи как раз включаются следющие механизмы:

Для того, чтоб по не подменял IP:

- dhcp snooping

- source guard

Для того, чтоб не подменял МАК:

- ARP inspection

А так же есть возможность установить трешхолд на кол-во арп сообщений.

Свитч полностью поддерживает все необходимы функции безопасности, необходимые для провайдера.

Можно почитать гайд по настройке безопасности:

http://upload.com.ua/get/902508193/Quidway S2300 Configuration Guide - Security(V100R003_02).pdf

на Киевстаре будет реализована защита от подобного рода атак через механизм DHCP-snooping. Абонент получает адрес по DHCP. Свич добавляет опцию 82. Итого на сервере проверяется соответствие MAC+порт и выдается правильный IP-адрес. До тех пор пока абонент не прошел удачно процедуру DHCP ему не разрешено отсылать ничего. А после того как он прошел процедуру DHCP разрешено отсылать только пакеты с правильным сорсом.

ACL-и тоже есть.

L3:

 

acl [ number ] acl-number

 

An advanced ACL is created.

# Perform the following as required.

 

*

 

When protocol is specified as TCP or UDP

 

Run:

 

rule [ rule-id ] { deny | permit } { tcp | udp } [ destination { destination-address destination-wildcard | any } | destination-port operator port | precedence precedence | source { source-address source-wildcard | any } | source-port operator port | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } icmp [ destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as other protocol except TCP, UDP or ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } { protocol | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | dscp dscp | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ] *

L2:

#

 

acl [ number ] acl-number

 

A L2 ACL is created.

# Run:

 

rule [ rule-id ] { permit | deny } [ { ether-ii | 802.3 | snap } | l2-protocol type-value [ type-mask ] | destination-mac mac-address [ mac-mask ] | source-mac mac-address [ mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id vlan-id [ vlan-id-mask ] | cvlan-8021p 802.1p-value | time-range time-range-name ] *

Применяются ACL-и вот этой командой:

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] traffic-filter inbound acl 3001 rule 1

кстати если вы используете команду user-bind, то абонент сможет слать пакеты(в том числе и arp) с сорсом только тем что прописан в этой команде

 

Надеюсь, я ответил на Ваш вопрос?

Ссылка на сообщение
Поделиться на других сайтах

Коммутатор хороший, dhcp_snooping + dai + ip sg с головой достаточно для зарезания абонента.

Только дороговато все же.

Коллега, тогда скажите, сколько такой коммутатор должен стоить по Вашему мнению? Только серьезно и объективно...

Ссылка на сообщение
Поделиться на других сайтах

Цена очень даже адекватная как для мелких закупок.

 

А если взять 100 шт, то какая цена может быть???

Коллега, такие закупки предлагаю обсуждать вне форума.

 

Мои контакты ниже.

 

Best regards, Vasiliy V. Sereda

Business Development Manager

CCNP, CCDP, ACSR

E-mail: vse@omnilink.com.ua

ICQ: 25561461 Skype: sereda_v

Mobile Phone: +38067 449-1139

Ссылка на сообщение
Поделиться на других сайтах

Что с поддержкой? Будут ли доступны последние версии софта?

Поддержка по траблшутингу, тестированию и т.д будет через нас при поддержке самого хуавея - мы официальные партнеры, за это можете не волноваться.

Последние прошивки естественно будут доступны, даже веб интерфейс, который по-умолчанию не идет со свичем.

Ссылка на сообщение
Поделиться на других сайтах

 

на Киевстаре будет реализована защита от подобного рода атак через механизм DHCP-snooping. Абонент получает адрес по DHCP. Свич добавляет опцию 82. Итого на сервере проверяется соответствие MAC+порт и выдается правильный IP-адрес. До тех пор пока абонент не прошел удачно процедуру DHCP ему не разрешено отсылать ничего. А после того как он прошел процедуру DHCP разрешено отсылать только пакеты с правильным сорсом.

ACL-и тоже есть.

L3:

 

acl [ number ] acl-number

 

An advanced ACL is created.

# Perform the following as required.

 

*

 

When protocol is specified as TCP or UDP

 

Run:

 

rule [ rule-id ] { deny | permit } { tcp | udp } [ destination { destination-address destination-wildcard | any } | destination-port operator port | precedence precedence | source { source-address source-wildcard | any } | source-port operator port | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } icmp [ destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as other protocol except TCP, UDP or ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } { protocol | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | dscp dscp | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ] *

L2:

#

 

acl [ number ] acl-number

 

A L2 ACL is created.

# Run:

 

rule [ rule-id ] { permit | deny } [ { ether-ii | 802.3 | snap } | l2-protocol type-value [ type-mask ] | destination-mac mac-address [ mac-mask ] | source-mac mac-address [ mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id vlan-id [ vlan-id-mask ] | cvlan-8021p 802.1p-value | time-range time-range-name ] *

Применяются ACL-и вот этой командой:

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] traffic-filter inbound acl 3001 rule 1

кстати если вы используете команду user-bind, то абонент сможет слать пакеты(в том числе и arp) с сорсом только тем что прописан в этой команде

 

Надеюсь, я ответил на Ваш вопрос?

честно говоря не понял, помешает ли все это на один порт подключиться нескольким компам с одинаковыми маками? первый комп проходит процедуру получения адреса, все остальные смотрят что за адрес и прописывают соседние

и не понял, есть ли тут ацл на основе содержимого пакета?

Ссылка на сообщение
Поделиться на других сайтах

и не понял, есть ли тут ацл на основе содержимого пакета?

Нетути :)

Поэтому нам такие свичи не подходят. Это обычный очередной аналог уже существующих цисок/ежиков/зухелей/деллов/фоксгейтов/планетов и прочего подобного.

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

Ссылка на сообщение
Поделиться на других сайтах

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

Все проще - покупателям этот функционал не нужен. А ради 0.1% потенциальных клиентов делать сложную и потенциально проблемную фичу нафиг никому не нужно.

Ссылка на сообщение
Поделиться на других сайтах

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

Все проще - покупателям этот функционал не нужен. А ради 0.1% потенциальных клиентов делать сложную и потенциально проблемную фичу нафиг никому не нужно.

Вы не в теме, причем абсолютно. :)

В чем же сложность данной фичи? А ни в чем! Её (сложности) просто нету ;) . Например для программирования поля Ether-type в L2 acl в асике накладывается маска 0xFFFF со смещением 0 от начала L2-заголовка пакета. Это сложно? Нет! Аналогично по жестко заданным смещениям и битовым маскам в заголовке пакета определяются src-mac, dst-mac, src-ip, dst-ip, и т.п. Это ведь работает, и весьма просто и примитивно. Что же мешает эти самые маски и смещения не задавать в фирмваре жестко, а позволить задавать их юзеру в командной строке acl? Ничего не мешает. Это сильно сложно? Цена вопроса - просто создать дополнительный синтаксис для acl и минимально расширить ее обработчик. Ведь функционал asic УЖЕ ЕСТЬ, только используется он не полностью! И в чем тут "потенциальная проблемность"? В тех же длинках это работает безпроблемно много лет во многих моделях.

Ссылка на сообщение
Поделиться на других сайтах

Залил веб ифейс, когда захожу через браузер на свич нет надписей только поля для ввода логина, пароля, код. Вместо кнопок квадраты без надписей. Если ввести логин и пароль, попадаю на ифейс в поле адрес переменная &LanguageType= пустая, тоже самое ни слова кроме табличек ( Ошибка

[19:35:55.005] this.LD is undefined @ http://192.168.6.42/script/language.js:114'>http://192.168.6.42/script/language.js:114

[19:35:56.275] LM.LD is undefined @ http://192.168.6.42/script/util.js:321

[19:35:56.290] this.LD is undefined @ http://192.168.6.42/script/language.js:114

Что может быть причиной?

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...
  • 4 months later...
Перед созданием темы или сообщения настоятельно рекомендуем ознакомиться с правилами раздела Торговля.
Правила раздела Торговля.
Для удобства был создан раздел оборудования на сайте.

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від kotqq
      del
    • Від kotqq
      Продам модуль Huawei WP1D000SPU01, цена 200$
       

    • Від monark
      I sell files to unlock OLT ZTE and OLT Huawei.
      Розблокуйте свої OLT самостійно, щоб прийняти будь-який ONT.
       
      OLT ZTE: C300, C320, C350
       
      OLT HUAWEI: MA5800 X2, X7, X15 and X17 all boards / всі дошки
      OLT HUAWEI: MA56XX all boards / всі дошки
       
      Unlock your OLTs yourself to accept any ONT.
      Розблокуйте свої OLT самостійно, щоб прийняти будь-який ONT.
       
       
      PVT
    • Від Rostyk.07
      Після кожного вимкнення з мережі він повертається до заводських налаштувань. За аналогічною темою люди пропонують шукати акумулятор і замінювати його. Роутер розібрав, батареї не знайшов. Я знайшов аналогічну тему на форумі Orange, хтось писав, що ремонт банальний і будь-який Електронік впорається. Але не написали що саме міняти. (часта несправність цього роутера. Якийсь заводський дефект або, як хтось віддає перевагу теоріям змови, навмисні дії Huawei, щоб купувати нові пристрої.) До цього часу, роутер працював багато років без глюків. БП підкинув, нічого не дало. Прошивку міняв. Махнути флеш або почати з заміни конденсаторів? Опір 5,6K на кнопці reset!


    • Від ajax75
      Керовані комутатори у заводських налаштуваннях з вухами та кабелями. 
      Без битих портів (всі порти тестувались).
      До 10 шт. вартість 1400 грн./шт.
      від 10 ціна обговорюється.
      В наявності 20+ шт.

×
×
  • Створити нове...