Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Набор функций L3 в L3 коммутаторах, wifiman
 
#1
19.01.2024 22:33:00
Кто-нибудь в курсе, есть ли какой-то прогресс с Pro свитчами по части запуска обещанных функций? Похоже, нам предлагают купить ещё один свитч за 700 долларов (линия Pro Max), чтобы хоть как-то получить желаемое... Разве нельзя сначала получить то, что нам продали? Если нет, то, по моему мнению, UI должен нам вернуть часть денег.
 
 
 
#2
08.02.2024 12:57:00
@dlow Надо стремиться к звёздам и ожидать полностью развитый дизайн основного слоя, шучу. TCP и UDP-флаги — это ключевые вещи, как ты и сказал, но хоть так мы можем разгрузить файрволы и получить несколько ограниченных маршрутизирующих опций на L3. Сейчас корпоративный сектор движется к требованиям нулевого доверия, а нормальная фильтрация трафика во многих местах оставляет желать лучшего. Масштабируемость теперь главный приоритет для компаний, так что надеюсь, скоро появятся новые сетевые интеграции, которые догонят конкурентов. Я бы не прочь потратить дополнительные деньги на эти продукты, когда их выпустят. Уверен, что UI понимает, что они пока не в топе по ключевым направлениям и постепенно внедряют новые решения, главное, чтобы подход к сетям и распределению был взвешенным и комплексным.
 
 
 
#3
07.02.2024 15:47:00
Согласен, @dlow. На мой взгляд, L3 отлично работает в доверенных сетях, но в условиях нулевого доверия почти бесполезен. На работе раньше мы маршрутизировали трафик между VLAN на центральных коммутаторах, а теперь весь межвлановый трафик идет через Palos, и для каждого предусмотрены свои правила.
 
 
 
#4
07.02.2024 15:39:00
Также хочу предостеречь от зацикливания на «L3 Switching», потому что для многих людей на самом деле нужен L4 или L3+ Switching, чего никогда и не обещали. Помните, что L3 — это просто IP. TCP и UDP относятся к L4! Поэтому многие распространённые сценарии доступа между VLAN, которые мы ожидаем, всё ещё не работают. Например: «Разрешить только определённые типы трафика между VLAN, например SMB (TCP порт 445)». Для этого нужна фильтрация по TCP-портам, а это уже L4 ACL. «Разрешить одной сети (например, Main) доступ к другой (например, IoT), но не наоборот». Простейшие ACL без состояния пропускают любые TCP ACK и FIN пакеты между VLAN, но ограничивают SYN пакеты в одном направлении. Снова — ACL работает с полем TCP Flags, что относится к L4.

ВНИМАНИЕ: свободный проход ACK и FIN пакетов означает, что устройство в одной VLAN может устроить DoS и DDoS атакой устройство в другой VLAN.

Так есть ли смысл в L3 ACL? Ну, по крайней мере, можно полностью изолировать сети, которые не должны между собой общаться. Можно открыть доступ к целому NAS (по IP) из другой VLAN, но защита на уровне портов — уже задача самого NAS. Для «хорошо настроенной сети» это может быть приемлемой ценой. Так что это уже шаг вперёд по сравнению с абсолютной бесполезностью.
 
 
 
#5
07.02.2024 12:26:00
Без нормального Layer 3 Switching экосистема UniFi так и останется НЕ масштабируемой. Хотя, должен признаться, меня уже успели потроллить за такое заявление.
 
 
 
#6
07.02.2024 12:13:00
Теперь мы можем увидеть, что нового в прошивке для коммутатора. Надеюсь, там появятся некоторые функции L3, которых мы так ждали.
 
 
 
Страницы: 1
Читают тему (гостей: 1)