Ervaringen layer3 switches (Cisco, HP, Foundry, Extreme)

Hier op mijn werk hebben we een layer 3 switch van 3com (4924). We zijn er niet echt positief over. Het apparaat kan maar 100 security regels aan, biedt weinig functionaliteit (bijv. geen radius authenticatie op MAC adres), het apparaat is traag en het lijkt dat het apparaat ook storingsgevoelig is (regelmatig gaan er dingen stuk).
Om dat het apparaat niet voldoet aan onze eisen en wensen: we willen snelle en betrouwbare routing met veel beveiligingsmogelijkheden, overwegen we een nieuwe layer3 switch aan te schaffen. We weten nog niet welk merk het wordt Cisco, HP, Foundry of Extreme.

Ik ben benieuwd naar jullie ervaringen met layer3 switches van bovenstaande merken. Hoe is bijvoorbeeld de support? Is de switch betrouwbaar? Is routering met een routingtabel tot 40 static-routes snel? Biedt de switch in jouw geval voldoende beveiligingsfunctionaliteit? etc. etc. etc.

Met welk merk switch hebben jullie de beste ervaringen? Welke switch is qua prijs/kwaliteit verhouding het beste?

Vertel op

We willen met de toekomstige switch wel aan connection state tracking gaan doen. Dus dat netwerk 1 wel sessies op kan zetten naar netwerk 2, maar dat netwerk 2 geen sessies op kan zetten naar netwerk 1. Dit uiteraard op wirespeed. Volgens de consultants die we hadden ingehuurd kan/kon dat ook met die 3Com 4924.

Maar is het uberhaupt mogelijk om met ACL's op multi-layer switches (HP 5300XL / 3Com 7700) op te geven dat netwerk 1 wel computers op netwerk 2 mag bereiken, maar dat netwerk 2 niet naar netwerk 1 mag? Netwerk 2 mag dus alleen antwoord geven op geïnitieerde sessies vanaf netwerk 1. Ik heb al redelijk wat handleidingen bestudeerd en het blijkt dat je ACL's zowel op inbound als op outbound verkeer kan toepassen. Maar het word mij niet duidelijk wat de consequenties zijn als je een deny ACL-rule toepast op bijvoorbeeld alleen inbound verkeer. Kan dan outbound-verkeer wat bij een sessie hoort dan ook niet meer terug? Als dat waar is, wat heb je dan aan het onderscheid outbound en inbound? Zowieso vind ik de term inbound en outbound (o.a. HP gebruikt deze termen in hun handleidingen) verwarrend omdat je ook zoiets hebt als het source IP/mask en het destination IP/mask...

We willen graag multi-layer switches gebruiken omdat zo'n oplossing veel eenvoudiger te beheren is. Anders moet je zowel een layer2 switch als ook nog een router beheren. Een oplossing gebaseerd op een layer2 switch en een router betekent ook een nieuw probleem: single point of failure. Je moet zowel de router als de layer2 switch redundant uitvoeren. Dat kost veel geld. Terwijl een beetje multi-layer switch ook hotswappable powersupplies en switchblades heeft. Maar goed jullie hebben me in ieder geval wel aan het denken gezet over een oplossing van een Juniper router met een layer2 switch.

[ Voor 10% gewijzigd door Theodoor op 22-08-2004 02:58 ]