Акция: бомбовый коммутатор доступа Huawei 2326 c парой модулей всего за 235 уе!

[Metre 6]

Здравствуйте, коллеги.

Компания OmniLink предлагает Вам один из лучших коммутаторов для доступа по соотношению "цена-качество" - Huawei LS-S2326TP-EI вместе с парой модулей SFP WDM 1G 3 км по акционной цене: 240 уе!

А при покупке 5 и более наборов "коммутатор + пара модулей" - 235 уе!!!

 

Более подробно о коммутаторе можно почитать здесь

http://www.omnilink....vnia/ls-s2326tp

 

или в датащите:

 

http://upload.com.ua...rochures V1.pdf

[Metre 6]

Уже несколько коллег спрашивало про грозозащиту.

Вот что отвечает сам хуавей:

"The S2300 adopts the Huawei patented lightning protection technologies to protect the equipment in atrocious environments, for example, when cables are laid outdoor without cabling racks. The lightning protection technologies reduce the probability of damages caused by lightning and increase the safety factor by 30 times, thus greatly improving the device reliability."

Ну и более конкретный ответ:

Грозоразрядники стоят на клиентских портах. Один разрядник на 4 порта. Защита - до 6Кв

Коммутатор при установке должен быть заземлен.

 

Если есть еще какие-то дополнительные вопросы - задавайте. Ну и самый лучший способ удостовериться в прекрасных свойствах данных коммутаторов - взять протестировать в Ваших конкретных условиях. Свитч действительно отличный, особенно если Вы планируете внедрять дополнительные сервисы, кроме интернета (голос, тв).

[alex_o 1 194]

Этот свич может фильтровать арп-анонсы абонента так, чтобы пропускались арп-пакеты только с объявлением ip этого абонента?

Мы используем привязку ip-port, при этом абонент через свой порт может слать пакеты только со своим ip (это делается с помощью source-ip l3-acl). Также, во избежание арп-спуфинга, он может через свой порт слать арп-анонсы тоже только со своим ip (это делается с помощью pcf-acl). Данный функционал отлично реализован у длинка, а как с этим у х#$вея?

[Metre 6]

Этот свич может фильтровать арп-анонсы абонента так, чтобы пропускались арп-пакеты только с объявлением ip этого абонента?

Мы используем привязку ip-port, при этом абонент через свой порт может слать пакеты только со своим ip (это делается с помощью source-ip l3-acl). Также, во избежание арп-спуфинга, он может через свой порт слать арп-анонсы тоже только со своим ip (это делается с помощью pcf-acl). Данный функционал отлично реализован у длинка, а как с этим у х#$вея?

Если Вы используете DHCP, то включается DHCP снупинг и команда:

dhcp snooping check arp enable

 

Как говорил - возьмите попробуйте.

[alex_o 1 194]

Какое отношение имеет дхцп к фильтрам свича? дхцп выдает абоненту автоматом адрес, только и всего. А что помешает абоненту подставить себе адрес ручками и не дать ему гадить в сеть? И что помешает ему подставить себе IP соседа/шлюза/сервера, или поставить генератор арп-флуда, который выдаст в сеть за пару секунд 100тыс арп-анонсов?

Или этот "свич-бомба" позиционируется исключительно для операторов, у которых влан-пер-юзер? Ну так таких в Украине единицы...

 

В свое время напробовались всяких свичей - каталисты/экстримы/деллы/иджкоры/планеты. Резать арп-спуфинг может только длинк, все остальное нет. Была маленькая надежда, что под нужды Киевстара х#$вей напрягся и сделал такой функционал. Жаль, если нет.

[Sargas 52]

Edge-cor'ы уже умеют arp inspection и ip source guard

[Metre 6]

Какое отношение имеет дхцп к фильтрам свича? дхцп выдает абоненту автоматом адрес, только и всего. А что помешает абоненту подставить себе адрес ручками и не дать ему гадить в сеть? И что помешает ему подставить себе МАС соседа/шлюза/сервера, или поставить генератор арп-флуда, который выдаст в сеть за пару секунд 100тыс арп-анонсов?

Или этот "свич-бомба" позиционируется исключительно для операторов, у которых влан-пер-юзер? Ну так таких в Украине единицы...

 

В свое время напробовались всяких свичей - каталисты/экстримы/деллы/иджкоры/планеты. Резать арп-спуфинг может только длинк, все остальное нет. Была маленькая надежда, что под нужды Киевстара х#$вей напрягся и сделал такой функционал. Жаль, если нет.

 

Имеет очень прямое, для решения Вашей задачи как раз включаются следющие механизмы:

Для того, чтоб по не подменял IP:

- dhcp snooping

- source guard

Для того, чтоб не подменял МАК:

- ARP inspection

А так же есть возможность установить трешхолд на кол-во арп сообщений.

Свитч полностью поддерживает все необходимы функции безопасности, необходимые для провайдера.

Можно почитать гайд по настройке безопасности:

http://upload.com.ua/get/902508193/Quidway S2300 Configuration Guide - Security(V100R003_02).pdf

на Киевстаре будет реализована защита от подобного рода атак через механизм DHCP-snooping. Абонент получает адрес по DHCP. Свич добавляет опцию 82. Итого на сервере проверяется соответствие MAC+порт и выдается правильный IP-адрес. До тех пор пока абонент не прошел удачно процедуру DHCP ему не разрешено отсылать ничего. А после того как он прошел процедуру DHCP разрешено отсылать только пакеты с правильным сорсом.

ACL-и тоже есть.

L3:

 

acl [ number ] acl-number

 

An advanced ACL is created.

# Perform the following as required.

 

*

 

When protocol is specified as TCP or UDP

 

Run:

 

rule [ rule-id ] { deny | permit } { tcp | udp } [ destination { destination-address destination-wildcard | any } | destination-port operator port | precedence precedence | source { source-address source-wildcard | any } | source-port operator port | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } icmp [ destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as other protocol except TCP, UDP or ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } { protocol | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | dscp dscp | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ] *

L2:

#

 

acl [ number ] acl-number

 

A L2 ACL is created.

# Run:

 

rule [ rule-id ] { permit | deny } [ { ether-ii | 802.3 | snap } | l2-protocol type-value [ type-mask ] | destination-mac mac-address [ mac-mask ] | source-mac mac-address [ mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id vlan-id [ vlan-id-mask ] | cvlan-8021p 802.1p-value | time-range time-range-name ] *

Применяются ACL-и вот этой командой:

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] traffic-filter inbound acl 3001 rule 1

кстати если вы используете команду user-bind, то абонент сможет слать пакеты(в том числе и arp) с сорсом только тем что прописан в этой команде

 

Надеюсь, я ответил на Ваш вопрос?

[karyon 48]

Коммутатор хороший, dhcp_snooping + dai + ip sg с головой достаточно для зарезания абонента.

Только дороговато все же.

[Metre 6]

Коммутатор хороший, dhcp_snooping + dai + ip sg с головой достаточно для зарезания абонента.

Только дороговато все же.

Коллега, тогда скажите, сколько такой коммутатор должен стоить по Вашему мнению? Только серьезно и объективно...

[Mobil 68]

Цена очень даже адекватная как для мелких закупок.

 

А если взять 100 шт, то какая цена может быть???

[Metre 6]

Цена очень даже адекватная как для мелких закупок.

 

А если взять 100 шт, то какая цена может быть???

Коллега, такие закупки предлагаю обсуждать вне форума.

 

Мои контакты ниже.

 

Best regards, Vasiliy V. Sereda

Business Development Manager

CCNP, CCDP, ACSR

E-mail: vse@omnilink.com.ua

ICQ: 25561461 Skype: sereda_v

Mobile Phone: +38067 449-1139

[Metre 6]

Акция продолжается!

[devchaos 1]

Что с поддержкой? Будут ли доступны последние версии софта?

[Metre 6]

Что с поддержкой? Будут ли доступны последние версии софта?

Поддержка по траблшутингу, тестированию и т.д будет через нас при поддержке самого хуавея - мы официальные партнеры, за это можете не волноваться.

Последние прошивки естественно будут доступны, даже веб интерфейс, который по-умолчанию не идет со свичем.

[DyadyaGenya 2]

 

на Киевстаре будет реализована защита от подобного рода атак через механизм DHCP-snooping. Абонент получает адрес по DHCP. Свич добавляет опцию 82. Итого на сервере проверяется соответствие MAC+порт и выдается правильный IP-адрес. До тех пор пока абонент не прошел удачно процедуру DHCP ему не разрешено отсылать ничего. А после того как он прошел процедуру DHCP разрешено отсылать только пакеты с правильным сорсом.

ACL-и тоже есть.

L3:

 

acl [ number ] acl-number

 

An advanced ACL is created.

# Perform the following as required.

 

*

 

When protocol is specified as TCP or UDP

 

Run:

 

rule [ rule-id ] { deny | permit } { tcp | udp } [ destination { destination-address destination-wildcard | any } | destination-port operator port | precedence precedence | source { source-address source-wildcard | any } | source-port operator port | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } icmp [ destination { destination-address destination-wildcard | any } | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name ] *

 

ACL rules are defined.

*

 

When protocol is specified as other protocol except TCP, UDP or ICMP

 

Run:

 

rule [ rule-id ] { deny | permit } { protocol | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | dscp dscp | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ] *

L2:

#

 

acl [ number ] acl-number

 

A L2 ACL is created.

# Run:

 

rule [ rule-id ] { permit | deny } [ { ether-ii | 802.3 | snap } | l2-protocol type-value [ type-mask ] | destination-mac mac-address [ mac-mask ] | source-mac mac-address [ mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id vlan-id [ vlan-id-mask ] | cvlan-8021p 802.1p-value | time-range time-range-name ] *

Применяются ACL-и вот этой командой:

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] traffic-filter inbound acl 3001 rule 1

кстати если вы используете команду user-bind, то абонент сможет слать пакеты(в том числе и arp) с сорсом только тем что прописан в этой команде

 

Надеюсь, я ответил на Ваш вопрос?

честно говоря не понял, помешает ли все это на один порт подключиться нескольким компам с одинаковыми маками? первый комп проходит процедуру получения адреса, все остальные смотрят что за адрес и прописывают соседние

и не понял, есть ли тут ацл на основе содержимого пакета?

[alex_o 1 194]

и не понял, есть ли тут ацл на основе содержимого пакета?

Нетути

Поэтому нам такие свичи не подходят. Это обычный очередной аналог уже существующих цисок/ежиков/зухелей/деллов/фоксгейтов/планетов и прочего подобного.

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

[KaYot 3 730]

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

Все проще - покупателям этот функционал не нужен. А ради 0.1% потенциальных клиентов делать сложную и потенциально проблемную фичу нафиг никому не нужно.

[alex_o 1 194]

Вообще, складывается ощущение, что всем вендорам просто влом писать софт. Потому как асики у всех одинаковые - они дефолтно УМЕЮТ работать с каждым битом первых 64 байт заголовка пакета. Но никто кроме длинка не удосужился использовать это по полной.

Все проще - покупателям этот функционал не нужен. А ради 0.1% потенциальных клиентов делать сложную и потенциально проблемную фичу нафиг никому не нужно.

Вы не в теме, причем абсолютно.

В чем же сложность данной фичи? А ни в чем! Её (сложности) просто нету . Например для программирования поля Ether-type в L2 acl в асике накладывается маска 0xFFFF со смещением 0 от начала L2-заголовка пакета. Это сложно? Нет! Аналогично по жестко заданным смещениям и битовым маскам в заголовке пакета определяются src-mac, dst-mac, src-ip, dst-ip, и т.п. Это ведь работает, и весьма просто и примитивно. Что же мешает эти самые маски и смещения не задавать в фирмваре жестко, а позволить задавать их юзеру в командной строке acl? Ничего не мешает. Это сильно сложно? Цена вопроса - просто создать дополнительный синтаксис для acl и минимально расширить ее обработчик. Ведь функционал asic УЖЕ ЕСТЬ, только используется он не полностью! И в чем тут "потенциальная проблемность"? В тех же длинках это работает безпроблемно много лет во многих моделях.

[devchaos 1]

Залил веб ифейс, когда захожу через браузер на свич нет надписей только поля для ввода логина, пароля, код. Вместо кнопок квадраты без надписей. Если ввести логин и пароль, попадаю на ифейс в поле адрес переменная &LanguageType= пустая, тоже самое ни слова кроме табличек ( Ошибка

[19:35:55.005] this.LD is undefined @ http://192.168.6.42/script/language.js:114'>http://192.168.6.42/script/language.js:114

[19:35:56.275] LM.LD is undefined @ http://192.168.6.42/script/util.js:321

[19:35:56.290] this.LD is undefined @ http://192.168.6.42/script/language.js:114

Что может быть причиной?

[mlevel 52]

Яка ціна на LS-S2318TP-SI/EI?

[MICROWATT 765]

не, бомбовый коммутатор опасен, однозначно.

Еще взорвется...

[4art 32]

продам Huawei 2326

есть 3шт

в лс

0934129995