newnix писал(а):
Хотелось запретить весь трафик, адресованный непосредственно коммутатору (кроме управления). После включения фильтрации большая часть арп записей исчезла из таблиц.
Фильтруйте на доступе либо на нижестоящей агрегации, сам коммутатор такой трафик отфильтровать нормально не может.
newnix писал(а):
1. Что отфильтруется такими правилами? (profile_id 1 ip source_ip_mask фильтрует только ip трафик или arp с таким source ip тоже?)
Только IP, ARP - это ethernet трафик.
newnix писал(а):
Пока поступил более гуманно:
Код:
create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip х.х.136.1 port 1-12 deny
config cpu access_profile profile_id 1 add access_id 2 ip destination_ip х.х.152.1 port 1-12 deny
enable cpu_interface_filtering
Так всё работает.
Ну вроде правильно сделали, если трафик приходит тегерированный, актуально будет указать vlan в профиле и правилах.
А вообще, по защищенности L3 длинка очень слабые, любой вменяемый флуд на IPIF угробит весь CPU нахрен, вне зависимости от наличия либо отсутствия cpu access-profile, поэтому весь мусор, направленный на cpu L3 свича актуально будет убивать на нижестоящих L2
Вход
Регистрация
FAQ
Поиск
