Не вот тут я с Вами не согласен. Лучшее что можно сделать с cisco 3550-12T - подарить врагу. Вобще конешно речь немного не о том - интересней было бы сравнить работу acl.

Arti_, разговаривал вчера с Иваном.

Итоги разговора: Ситуация следующая: L3 свич в первую очередь занимается L3, и трафик, направленный на IPIF свича в первую очередь обрабатывается процом, а не свичингом.
Если фильтровать ipif средствами cpu acl, нагрузку это может частично снять, однако полностью убить трафик ДО попадания на cpu не получится, в виду архитектуры L3 (на любых L3).

Моё мнение: на 36хх слабые процы, из-за этого они и дохнут при ддосе IPIF, даже если применять CPU ACL. На кошке этого практически не наблюдается, может быть из-за других процов.
Отфильтровывать вышестоящими L2 действительно эффективно с точки зрения структуры (L3 - routing, L2 - switching), типа каждому - своё.

Что делать: плодить L2, другого, более дешёвого, экономически обоснованного и простого способа я пока не вижу. Вкорячивать пачку кошек взамен 36хх мы просто не потянем.

Да я тоже разговорил с Иваном (поддержка несомненный плюс длинк).

Мне тоже объяснили что так сделано специально, однако я несогласен.

Аргумент, что трафик направленный на ipif ДОЛЖЕН ити напрямую, для того чтобы свич выполнял свою основную функцию - коммутацию l3 - мягко говоря несостоятелен.

В тем боле этот аргумент сомнителен, что аппаратные acl действуют по принципу "разрешено пока не запрещено".

То, как реализованы ACL в 3600 можно выразить просто и понятно в двух словах: "архитектурный недостаток".

Очень жаль, возможности аппаратных акл в 3600 широки их количества должно хватить для любых задач, но...

Я тут показывал что на at-9724 аппаратные acl отлично фильтруют ЛЮБОЙ трафик.

Покажу X900 делаем:


шел:
ping -f 192.168.255.17

x900:

awplus(config-if)#do sh cp
CPU averages:
1 second: 46%, 20 seconds: 22%, 60 seconds: 7%
System load averages:
1 minute: 0.31, 5 minutes: 0.06, 15 minutes: 0.02
Current CPU load:
userspace: 5%, kernel: 17%, interrupts: 73% iowaits: 0%

делаем на x900:

awplus(config)#access-list 3200 deny ip any 192.168.255.17/32


awplus(config)#interface port1.0.1-1.0.12
awplus(config-if)#ip access-group 3200

проверяем снова CPU:

awplus(config-if)#do sh cp
CPU averages:
1 second: 1%, 20 seconds: 37%, 60 seconds: 18%
System load averages:
1 minute: 0.57, 5 minutes: 0.14, 15 minutes: 0.04
Current CPU load:
userspace: 1%, kernel: 0%, interrupts: 0% iowaits: 0%

Переключением ip access-group 3200 / no ip access-group 3200 убеждаемся что фильтр работает.

Так что про ВЕЗДЕ эта бабка на двое сказала.

Напомю что в AW нельзя вешать софтварные фильтры на порт. Что фильтр аппаратный можно убедится прочитав руководство по x900/908 AW+



Кстати говоря мне собщили что у телесина сейчас проблемы в финансовом плане... так что вот

Я немогу сказать что поведение ACL в 3600 меня сильно расстраивает, - расстраивает но не сильно, особенно на фоне цены . Просто можно ведь было сразу сказать "нет и не ждите" - что время то тянуть. Задачу фильтрации действительно можно решить на доступе, хотя и не так удобно.

terrible, Arti_, спасибо, эта информация была полезной!

_________________
D-Link Switches: Tips & Tricks

Хорошо просветили - спасиба!
Есть у меня в сети один AT-8826(L3 full лицензия) - проблем ни каких кроме как один раз скачком по питанию ему сносило фирмваре. Грузится меньше минуты -по сравнению с Длинком моментально, с помощью hardware filters в свое время на своем сегменте считал внутренний трафик.
С доступа убрали из-за ограничений привязок на порт (вего лишь 100) - неудобно было - нужно в то время держать подсеть на порту (255).
Современые типа AT-9924 или x900 уже лишены таких ограничений но цена правда кусается. Еще хотелось отметить ихние мануалы учится по ним на сетивика можно правда на английском.
В core сечас стоит комбинация из двух DGS-3612G и нескольких цысок причем абоненский трафик только через цыски а остольное роутится на длинках - так что с проблемами вашими не знаком. Весь доступ по городу построен на длинках и особых проблем то и нет кроме как замена блоков питания на DES-3526 и вот что-то какое то недоверие сейчас к DGS-3100-24TG тоже типа мины замедленного действия. Стоял на районе один такой стал вдруг перегружатся - сняли в ремонт -из ремонта привезли - с пустым конфигом как только подключаешь к офисной сети тут же уходит перезагруз.
И если все они со временем начнут перегружаться это будет катастрофа городского масштаба.

На DGS-36XX процы не слабее чем на кошках. Можно конечно ещё попробовать на DGS-3610-XX. У него Cisco-Like CLI и весь функционал накладывается по цисковски.

To Arti_:

Я Вам завтра перезвоню.

По поводу AT-8826. Он стекируемый? От этого зависит скорость загрузки.

Руслан, Вы так и не получили моё письмо ?

Вчера ночью опять 36-ой ушёл в себя.
Заметил интересный факт: он виснет, когда на него заливаются pbr (ночью используем скрипт под свои нужды, который при определённых условиях может заливать правила для создания 1-3 ACL+pbr). По логам правила залились, и даже прошло сохранение параметров, но после этого свитч больше не был доступен (графики в cacti). После последнего случая перенёс выполнение скрипта на несколько часов вперёд, тогда подумал что просто совпадение. И опять время выполнения скрипта совпало с временем падения 36-го.

Письмо пришло, сейчас Александр протестирует с заливкой конфигурации через скрипт и напишем по результатам.

_________________
С уважением,
Бигаров Руслан.

Мы вроде как договаривались обсудить вопрос топологи, возможно я просто не понимаю применение этого чудного устройства. Было это сами-знаете-когда . Опять же нет возможности связаться - прямо так и говорите. А то много время уходит на бесполезные ожидания.

Извините но много дел навалилось. Обязательно позвоню в ближайшее время.

Наконец-то нашёл время перепрошить центральный роутер прошивкой (2.55-B05), присланной Александром.
Уже неделю как работает нормально, правила ACL+PBR перезаливатся нормально, без последующего зависания роутера.
Спасибо!

Чем все закончилось в итоге?

_________________
D-Link Switches: Tips & Tricks

Наверно обновлением до 2.80.В35 как минимум.

_________________
С уважением,
Бигаров Руслан.

Эта прошивка решает все вышеописанные проблемы? Просто сейчас 3627G лежит, думаем пускать ли в бой...

_________________
D-Link Switches: Tips & Tricks

2 xcme > Вам бы я советовал сразу установить последнюю версию прошивки 2.82.В16

_________________
С уважением,
Бигаров Руслан.