Блог‎ > ‎

Некоторые особенности коммутаторов Allied Telesis

Отправлено 17 мар. 2014 г., 04:25 пользователем Константин Ханкин
За 2 года борьбы с устройствами АТ выявил несколько милых особенностей

Сразу надо сказать, что все описываемые устройства - EOL, то есть End of Life. То есть претензии вроде как не по адресу. Но тем не менее, думаю, что описать стоит - потомкам в назидание. Баги могут встретиться даже в оборудовании достаточно именитого бренда.

Итак, первый номер программы - коммутатор 3 уровня Allied Telesis AT-9424Ts/XP:
  1. Оно не умеет отправлять ICMP Time Exceeded! Это просто я даже не знаю, как описать. Перевожу на русский язык: вы никогда не увидите этот коммутатор в выводе traceroute. Да он умеет 6 видов DoS-атак определять, а вот ICMP Time Exceeded отправить - нет! Прежде, чем сообщить мне эту рабостную новость и посоветовать переход на серию х600, инженер поддержки попросил установить патч, поплясать с бубном, принести жертву и так далее. Как в советском анекдоте про перчатки.,
  2. Оно умеет BOOTP Relay (который одновременно и DHCP Relay), но не умеет опцию 82! Ну как так... Благо, хоть как релей работает нормально (в смысле, gi_addr вставляет корректно). Wait, OH SHI--
  3. BOOTP relay в сочетании с другим коммутатором, подключенным через транк, ведёт себя не так, как ожидается. Топология такая: к 9424 подключен DHCP-сервер, 2 порта 9424 объединены в статический транк, поверх этого транка прокинуты несколько виланов, транком зацеплен коммутатор, к которому подключены абоненты. И теперь внимание, вопрос: будет ли нормально работать BOOTP/DHCP Relay? Конечно, нет! Он будет работать так: при запросе адреса 9424 начинает искать владельца запрашиваемого адреса с помощью ARP Query (ну вроде как логично, хотя это запота DHCP-сервера вообще-то), а если ответа не получит, то... продолжит спрашивать! И так до бесконечности. Избавление от транка и заведение абонентов напрямую на 9424 излечило проблему. Да только вот 9424 - не коммутатор доступа так-то. Иногда было забавно: клиент долбится-долбится, пытается в муках получить адрес, в конечном итоге плюёт и выбирает себе LL-адрес (169.254/16). И вот теперь DHCP отрабатывает корректно! Ещё веселее загрузка по PXE: сетевая карта успешно (с 5 таймаута) таки получает адрес и получает по TFTP загрузчик. А в процессе загрузки станция получить адрес уже не может - некому на ARP ответить.
  4. Процедура настройки SSH, гм, нетривиальная, ну да ладно. Сам коммутатор ключ сгенерировать не в состоянии. Да D-Link DGS-3024 при всём при том, что по SSH отчаянно тормозил, ибо мощи процессора не хватало, а всё же мог сгенерировать ключ. Да точка доступа D-Link DWL-2100AP при всей своей глючности умеет генерировать ключ (или использовать вшитый). А вот стекируемый коммутатор уровня 3+ с защитой от DoS и всесторонней поддержкой IPv6 - нет. Стыдоба.
  5. Глючит веб-интерфейс. Нет, не так. ГЛЮЧИТ. ГЛЮЮЮЮЮЮЮЮЧИТ. Мало того, что не всё можно через него настроить, так ещё и картинки прыгают с места на места. Я не смог найти браузера, в котором веб-интерфейс стабильно бы НЕ ГЛЮЮЧИЛ. Пример: лого АТ, обычно занимающее место в левом верхнем углу, внезапно оказывается там, где была кнопка Accept. И вот иди угадывай.
  6. AWPlus. Этот непонятный внебрачный сын АТ и Cisco. Если АТ хотели так облегчить переход цискоадминов на АТ - они ошиблись. Извращено почти всё. Плюс, традиционно, не всё можно настроить.
  7. Сработка Link Flap Protection и отправка порта в даун - не повод отправить snmp trap или хотя бы выделить событие как warning/error. Это Informational-событие. Вот так вот. Автоматического, по прошествии некоего времени, вывода порта из дауна нет. Шансов узнать о сработке минимум.
При всём при этом нельзя сказать, что железка - шлак. Свою работу, за исключением мелких неприятностей выше, выполняет на отлично. Несёт на борту 24 гигабитных порта и 2х10G, действительно умеет стек, LACP на весь стек, богатые фишки в плане IPv6, без мороки с лицензиями, как в циске. Однако 9924T, хотя и более старый, но более фичастый и стабильный. И неясно позиционирование этого устройства: судя по уровню 3+, возможностям классификации трафика и богатому QoS, стекированию, 10G - это, как минимум, уровень распределения. Но ряд проблем делает невозможым полноценное испольнование этой железки на распределении - только на доступе (см. проблему с DHCP Relay). А так как оно EoL - обновлений больше не будет.

Второй номер - коммутатор доступа AT-GS950/n, где n - количество портов. Не путать с GS900/n. Итак:
  1. Нет доступа к МАС-таблице. Совсем. Никак. Ни в веб-интерфейсе, ни через SNMP, ни через консоль. Happy Debugging!
  2. Нет доступа через SSH или хотя бы Telnet. Или веб-интерфейс, или СОМ-консоль.
  3. Есть фича Management VLAN, запрещающая доступ к управлению из любого VLAN, кроме VLAN 1 (VID Management VLAN сменить нельзя). Только она не работает.
  4. Для работы 802.1х необходимо, чтобы порт,  которому подключен RADIUS-сервер, был включен нетегированным в VLAN 1 (VID сменить нельзя). Кстати, тот же 802.1х работает нестабильно. То есть может сработать, а может и не сработать. 802.1х с аутентификацией по МАС-адресам работает с Guest VLAN почти никак - то есть шансов попасть в Guest VLAN у неаутентифицированной станции минимум.
  5. Веб-интерфейс любит плеваться ошибками 400 Bad Gateway, ничего не объясняя. Особенно забавна такая комбинация: через консольный интерфейс вы настраиваете VLAN неправильно (например, добавляете порт как untagging более, чем в один VLAN), после этого пытаетесь сделать какие-то настройки VLAN через веб-интерфейс и - правильно! - 400 Bad Gateway. Берёте консольный кабель и лезете в пыльную подсобку перенастраивать коммутатор.
  6. Шизанутый терминальный интерфейс - в виде меню. Тыкаешь букву - получаешь активацию пункта. Вроде некритично, но через 5 минут задалбывает до колик. Особенно навигация по этим многоэтажным менюшным конструкциям.
  7. При настройке Port VLAN ID нельзя задать диапазон портов. Вообще нельзя. Несёт комутатор на борту 24 порта - настраивай все 24 порта отдельно.
  8. Удалив VLAN 1, нельзя восстановить его обратно никак, кроме полного сброса. А VLAN удаляется, если в нём не осталось ни одного порта. Мило.
Зато это вполне себе бюджетный гигабитный коммутатор 2 уровня с физической консолью и 802.1х. Даже транки поддерживает.

Ну и последний экземпляр - это AT-GS900/n. Если кратко, то основные претензии - это отсутствие 802.1х в чистом виде (есть какой-то мутный 802.1x Redirection) и отсутствие SNMP от слова "совсем". Ну и консоли нет: нахимичил с настройками - дави на сброс, настраивай снова. Ну и телнета/ssh тоже нет. Ну и интерфейс похож (прям ну вот с точностью до логотипа) на D-Link'и старые. Зато в нём нет вентилятора!

Подвожу итог: не гоняйся, поп, за дешевизной. Хотя фирма и именитая, некоторыми детскими болезнями ряд её устройств вполне себе страдает. Хотя ещё раз повторюсь, устройства уже EoL, про новые линейки сказать ничего не могу. Да и в целом работает, 95% времени не принося особой головной боли. Cisco, конечно, лучше, но там и ценник другой. Решать в конечном итоге вам.
Comments