PDA

Bekijk Volledige Versie : Advies gevraagd: core switches



Pietpaul
22/12/04, 02:40
Wij zijn op zoek naar een goede core switch voor ons netwerkje. We willen geen BGP doen, misschien in de toekomst, gewoon switching voor meerdere racks. Verder is een vereiste dat we IP adressen moeten kunnen blokkeren bij het inkomend dataverkeer (dos aanval, hackers, etc).

Wat zijn aanraders? Wie kent een leuk model? We hebben 1000 euro hier voor die switch (zal waarschijnlijk een leuk 2e handsje worden)!

Dus welke (routing) switch kan IP's blokkeren en veel pakketten switchen (wirespeed)?

EDIT: gbit poorten maakt niet uit, als er maar 1 gbic inkan en minimaal 12 10/100 mbit poorten dan is het al prima :)

EricV
22/12/04, 03:10
Als je per sé op IP basis wil kunnen routen dan heb je een layer 3 switch nodig. Een goede is vrij prijzig. Als ik jou was zou ik kijken naar de Summit serie van Extreme Networks.

Maar voor een 5i betaal je bij bijv. Network Liquidators al gauw 5000 dollar. Op eBay met een beetje geluk 3000 dollar.

Kan je niet beter goede afspraken maken met je up-link provider, zodat hij in zijn router dos-aanvallen etc filtert?

Pietpaul
22/12/04, 03:23
Origineel geplaatst door EricV
Kan je niet beter goede afspraken maken met je up-link provider, zodat hij in zijn router dos-aanvallen etc filtert? Ik denk dat ze gek worden als wij elke week een IP'tje mailen die ze moeten filteren :)

Wij willen liefst geen routing doen, puur IP's blokkeren in het inkomende verkeer (bijvoorbeeld een hacker die op onze servers bezig is of een studentje met een 100 mbit lijn die vervelend doet).

is basic layer 3 hier goed voor of heb je een full layer 3 license nodig bij die Summits van Extreme? En wat is het voordeel van ee summit 5i tov bijvoorbeeld een goedkope 24e3 met full layer 3 license?

EricV
22/12/04, 03:28
Origineel geplaatst door Pietpaul
Ik denk dat ze gek worden als wij elke week een IP'tje mailen die ze moeten filteren :)
Ik bedoelde meer het filteren bij een DDoS-attack. 1 IP blokeren kan je toch ook in je firewall doen? Maak desnoods 1 blacklist voor al je servers, dat maakt het geheel stukken goedkoper.

Pietpaul
22/12/04, 03:31
Origineel geplaatst door EricV

Ik bedoelde meer het filteren bij een DDoS-attack. 1 IP blokeren kan je toch ook in je firewall doen? Maak desnoods 1 blacklist voor al je servers, dat maakt het geheel stukken goedkoper. Nee, we willen ranges en enkele ip's centraal kunnen blokkeren, niet pas op de servers (performance en onderhoud in mutli OS omgeving) :)
We zoeken sowieso een core switch !

EricV
22/12/04, 03:37
Begrijpelijk, alleen vrees ik dat je een stuk boven de 1000 euro uitkomt, als je een kwalitatief goede switch wil.

Weet je ook zeker dat je een 2e handsje wilt als centraal punt van je netwerk?

Pietpaul
22/12/04, 03:42
Origineel geplaatst door EricV
Begrijpelijk, alleen vrees ik dat je een stuk boven de 1000 euro uitkomt, als je een kwalitatief goede switch wil.

Weet je ook zeker dat je een 2e handsje wilt als centraal punt van je netwerk? Ik ga ervanuit dat machines van 3 jaar oud (uit die prijsklasse) toch nog wel goed werken? iig beter dan een nieuwe switch van 1000 euro?

EricV
22/12/04, 03:52
Persoonlijk heb ik meer vertrouwen in een nieuwe goede layer 2 core switch, dan een 3-jaar oude layer 3 switch.

Maar dat is puur een persoonlijke mening/ervaring.

Pietpaul
22/12/04, 04:03
OK, maar gewoon anwtoord op de vraag: welke switch kan ip's blokken?

Pietpaul
22/12/04, 18:25
Niemand? Gebruikt hier niemand een professionele switch?

Pietpaul
23/12/04, 00:57
170x bekeken maar niemand die hier meer over kan vertellen? Kan een mod de titelfixen, misschien dat het dan beter overkomt (Advies gevraagd: core switches)

Rik
23/12/04, 00:59
Done....
Kom op mensen :)

LeaseWeb
23/12/04, 01:21
Origineel geplaatst door Pietpaul
OK, maar gewoon anwtoord op de vraag: welke switch kan ip's blokken?

Door de marketing drones van cisco is er wat verwarring ontstaan. cisco is op een gegeven moment L3 switches gaan marketen.

Wat eigenlijk onzin is. L2 == switch L3 == router

strikt genomen is een switch een L2 apparaat.
L2 weer _niks_ van IP.

Een switch kan dus niet IP adressen filteren/blokkeren.

Pietpaul
23/12/04, 01:24
En een layer 3 routing switch? Dmv access policies IP's blokkeren, dat kan toch? Of is dat niet aan te raden?

En anders gezegd: wat raad je ons dan aan om ip's te gaan blokkeren mocht dat niet lukken met een routing switch met full layer 3 licentie?

EricV
23/12/04, 02:08
Er wordt inderdaad op dit moment helaas veel onzin uitgekraamd door switch fabrikanten over level 3 switches, welke eigenlijk alleen layer 3 van het OSI-model gebruiken voor management.
Het verschil tussen een 'router' en een 'layer 3 switch' is dat routers vaak meer configuratie mogelijkheden hebben, en de switches veel poorten.

Ik denk dat er weinig mensen reageren omdat er voor jou budget geen layer 3 switches bestaan.

Pietpaul
23/12/04, 02:13
Origineel geplaatst door EricV
Er wordt inderdaad op dit moment helaas veel onzin uitgekraamd door switch fabrikanten over level 3 switches, welke eigenlijk alleen layer 3 van het OSI-model gebruiken voor management.
Het verschil tussen een 'router' en een 'layer 3 switch' is dat routers vaak meer configuratie mogelijkheden hebben, en de switches veel poorten.

Ik denk dat er weinig mensen reageren omdat er voor jou budget geen layer 3 switches bestaan. Even budget buiten beschouwing latend, wat is de beste oplossing om vanaf een router/layer 3 switch ip's te blokkeren en tevens als core switch te fungeren?

Pietpaul
23/12/04, 02:15
Als ik het goed heb kan je hier toch ip's en ranges mee blokkeren?

Layer 3 Class of Service - IP Destinations Set a priority based on the destination IP address
Set a priority based on the destination subnet
Set a priority based on the destination multicast

Layer 3 Class of Service - IP Source Set a priority based on the source IP address
Set a priority based on the source subnet

Kray
23/12/04, 02:21
Hoe belangrijk is het dat je een GBIC slot hebt? Als je ook met UTP kan uplinke naar je hoster, kun je met jouw budget wel een nieuwe 3com kopen die beperkte layer 3 functionaliteit biedt, zoals de smart switches uit de 4400 serie.

Pietpaul
23/12/04, 02:22
Als ik maar IP's kan blokkeren, maar dat kan toch dmv layer 3 access lists??

Reinier v Eeden
23/12/04, 10:18
@pietpaul
Enige wat je kunt doen is een router neerdonderen.

groeten
reinier

ProServe
23/12/04, 12:16
Als je wilt filteren, zul je toch echt iets moeten kopen wat kan routeren (ookal wil je dit niet). Ja, er zijn switches die dit doen, nee, die kan je niet kopen voor 1000 euro. Beste is natuurlijk een aparte firewall doos, al dan niet purpose built. Je zou een Free/OpenBSD machine hiervoor kunnen gebruiken bijv.

GlobalEurope
23/12/04, 13:00
Origineel geplaatst door Pietpaul
Niemand? Gebruikt hier niemand een professionele switch?

Extreme Blackdiamonds, Foundry BigIrons, etc
kosten alleen wel wat meer dan 1000 euro he.

Pas of je budget aan of zoek gewoon een L2 switch en vergeet het routen

Pietpaul
23/12/04, 15:49
Ik wil niet routen, alleen via access lists bepaalde IP's blokkeren. Dat kan met ExtremeWare 4 en hoger en ook andere switches kunnen dat.

Ik wil alleen de bevestiging dat dit werkt zonder prestatieverlies (wij gebruiken een heel stuk minder dan 100mbit/s). Dat is toch gewoon basic layer 3 wat bepaalde switches kunnen?

Even voor de duidelijheid: ik praat niet over een goedkope 3com maar over een Summit 7i switch :)

EricV
23/12/04, 15:52
Een Summit 7i kan dit inderdaad, maar je hebt het over switches van rond de 1000 euro.
Ik zou een Summit 7i van 1000 euro nooit vertrouwens, aangezien deze tenminste 5000 euro waard zijn.

ProServe
23/12/04, 17:00
Origineel geplaatst door Pietpaul
Ik wil niet routen, alleen via access lists bepaalde IP's blokkeren. Dat kan met ExtremeWare 4 en hoger en ook andere switches kunnen dat.
Eeeh, het is best leuk dat je niet WILT routeren op die switch, maar je zult het wel MOETEN als je ACL's wilt gebruiken.

EricV
23/12/04, 17:04
Origineel geplaatst door ProServe

Eeeh, het is best leuk dat je niet WILT routeren op die switch, maar je zult het wel MOETEN als je ACL's wilt gebruiken.
Ik weet niet hoe ze de layer 3 functionaliteit geimplementeerd hebben, maar het is theoretisch mogelijk om een switch de header van een packet te laten controleren en packets met blacklisted IP's te droppen.

Pietpaul
23/12/04, 17:08
Origineel geplaatst door ProServe

Eeeh, het is best leuk dat je niet WILT routeren op die switch, maar je zult het wel MOETEN als je ACL's wilt gebruiken. ACL's zitten toch in de basic layer functies? Zonder full layer 3 kan je toch niet routeren?

Samuel
23/12/04, 17:26
24i of 48i van Summit?

Mss kunnen de 24 en 48 het ook,moet ik even nakijken, daar ben ik niet zeker van.

ProServe
23/12/04, 17:29
Als je een switch gebruikt als switch, en er niet mee gaat routeren, gedraagt hij zich als: verrassing, een switch! Hij doet dus helemaal niets met de pakketjes, buiten ze naar de goeie poortjes switchen.
Ga je hem als router gebruiken, kan je wel ACLs e.d. gebruiken. En nee, voor simpele static routes heb je geen full layer3 nodig bij Extreme. Of je dan wel ACL's e.d. kan aangeven, geen idee.

Madshark
24/12/04, 19:39
Een L3 switch voor 1000eur zal denk ik erg lastig worden, zowieso als het ook nog moet performen.
Echter, ik heb hier nog iets 2e hands staan wat voldoet aan je wensen denk ik, stuur me maar even een PM.

Rik
25/12/04, 02:51
Closed....

PietPaul= i3d = Banned !