У меня есть профили на основе:
1. VLAN
2. IP+UDP
3. IP+TCP
4. UDP
5. TCP
6. Зарезать броадкаст
7. IP
8. Тип протокола (разрешить)
9. Тип протокола (запретить)

Хочу еще хотя бы:
1. IP (маска) + VLAN - это 7 профилей
2. UDP + VLAN
3. TCP + VLAN

Итого еще 9 профилей будет самое то ...
Правда тогда уже возможна засада с общим количеством рулесов

Ворос к производителю:
Будет ли когда нибудь поддержка ACL как у циски?
Типа создали ACL, а потом просто привязали к порту на input или output (воткнули в route-map, class-map и .т.д)?

На DES-3828 есть понятие CPU Interface Filtering:

7 и 8 прфиль воткнуть в один это не кошерно?
значится Вам увы придется ограничиваться кол-вом VLAN, дабы сэкономить на профилях насчет Вашего вопроса могу сказать что Вы наверное не читали ответ мне ув. В.Карагезова, который говорилхотя конечно это странно, т.к. чипы могли бы и бОльше переварить, но кетайцам виднее.
кстати, а что есть Ваш профиль на основе VLAN (profile_id 1)? что он собсно делает? если это не "секрет фирмы" конечно же...

Профиль на основе VLAN разрешает все для арендованных каналов + приоритеты, также используется для приоретизации управляющих вланов.
Профиль 7 это приоритеты на основе конкретного IP адреса назначения.


Я так понимаю сие высказывание относилось к DES-3526, который первым упомянул snark
У меня DES-3828!!!
Вольный перевод ранее приведенного куска из мануала:
Для преодоления ограничений чипсета добавлена дополнительная функция CPU Interface Filtering. CPU Filtering может быть включена или выключена. Имеет такой же синтаксиc, что и ACL ....

Кстати я не думаю, что ACL на каталистах ВСЕ хардварные ...



А мне казалось, судя по названию, что именно CPU их и обрабатывает .
Т.е. по номеру ACL ???

create access_profile ethernet vlan profile_id 10
create access_profile ip udp dst_port_mask 0xffff profile_id 40
create access_profile ip tcp dst_port_mask 0xffff profile_id 50

create cpu access_profile ip source_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 20
create cpu access_profile ip source_ip_mask 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 30
enable cpu_interface_filtering

В какой последовательности будут обработаны указанные профили?
Это не конкретный пример, это просто пример для лучшего понимания работы ACL!!!

Насколько сильно использование cpu access_profile нагрузит проц??
Есть ли какие нибудь рекомендации по их использованию?
Чем в данном случае ограничено количество cpu access_profile и access_id (рулесов) в них???

с Вашим построением ACL яно... я поняв Вам надо их бОльше...

вот Вы заладили 3828, 3828, ЭТО ТОТ ЖЕ САМЫЙ 3526 только улучшенный
имхо CPU Interface Filtering предназначен для того чтобы указать тип пакетов которые не будут обрабатыватся процессором, т.е. для его разгрузки... т.е. не хотите чтобы NETBIOS забивал Вам проц - пишите и смотрите загрузку... хотя на форуме проскакивало что ACL вообще проц не грузят, ими отдельный чип занимается, но кетайцам виднее... короче, CPU Interface Filtering не предназначен для управления траффиком на портах, имхо...

Ещё раз по пунктам:
1) По поводу ACL - они аппаратные и выполняются на микросхемах портов
2) DES-3828 - это не улучшенный DES-3526, а совсем другая аппаратная платформа (при этом механизм ACL у них одинаковый)
3) По поводу CPU Interface Filtering почитайте вот этот FAQ http://www.dlink.ru/technical/faq_hub_switch_68.php (я думаю из контекста должно быть понятно)

именно это я имел ввиду говоря что это тот же самый свич... да, апаратно другой, но по ACL - те же штаны, тока задом наперед...

Механизм ACL сильно связан с аппаратной частью БИС ASIC (микросхемы портов)

1) Не спорю ...
2) Согласен, DES-3828 - L3, а DES-3526 - L2
to snark - каталист 4507 улучшенная модель 2950
3) В корне не согласен
Из контекста понятно, что он умеет фильтровать трафик ...
Ну и?
Поясню:
Нигде в документации не сказано, что функция CPU Interface Filtering осуществляет ТОЛЬКО фильтрацию !!! За то четко сказано, что она выполняет теже задачи, что и ACL ...

А можно Владислава Карагезова в студию?

Она выполняет те же функции, что и ACL тлолько для интерфейса CPU.

я их сравнивал как L2 модели и то с позиции ACL в основном... кстати, Вы не задумывались над тем что Выш любимый DES-3828 в общем то улучшенный DES-1005D? все свичи так или иначе являются улучшением предыдущих моделей ибо прогресс и эволюция... у всех каталистов начиная с 4500 есть то что от D-Link нельзя добится в свичах за любую цену, а именно netflow. все, точка, сделай d-link хотя бы в 6500 такую фичу, ну или sflow на худой конец (на который кстати есть стандарт aka RFC) цены бы этим свичам небыло равно как и топиков на тему "как подсчитать траффик", а уж как это было бы полезно я даже и не говорю

З.Ы. правильно делаете что ждете Карагезова... он точно все разрулит я просто однажды наблюдал расхождение во мнении 2-х сотрудников D-Link и я склонен доверять, да простят мя остальные, таки Карагезову...

Все встало на свои места когда попробовал задолбить профиль, просто отсутствуют порты при конфигурировании ...

Обломно

я кажется уже говорил - к сожалению, пока ни netflow, ни SFlow не поддерживаются, хотя я полностью согласен, что функии очень нужные. И, безусловно, мы также осознаем их важность.
Будут новости - форум узнает об этом первым

_________________
С уважением, Карагезов Владислав

Вы бы в доку по 3828 относительно CPU Interface Filtering исправления внесли, а то людей в заблуждение вводите ...