D-Link • Просмотр темы - Вопрос по CPU Interface Filtering (DES-3526, 3028, DGS-3627)

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вопрос по CPU Interface Filtering (DES-3526, 3028, DGS-3627)

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

GreatFoolDad

Заголовок сообщения: Вопрос по CPU Interface Filtering (DES-3526, 3028, DGS-3627)

Добавлено: Пт сен 25, 2009 08:33

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Долго мучился вопросом, стоит ли задействовать эту фишку?
Имеем распределенную клиентскую сеть (на аксесе - сабжевые девайсы в кольцах (MSTP) (управляющий вилан, естественно, отдельный), руты колец - DGS-3627G (на них же терминируются клиентские и упр. виланы для аксесных свичей)), по которой подаем интернет (ну а что ж еще?), VoIP и IP-TV.
Вопросик такой - имеет ли резон использовать вообще CPU Interface Filtering как минимум, на аксесных коммутаторах?
Тем про CPU Interface Filtering тут вообще не так много (viewtopic.php?t=104193, пожалуй, самая "конкретная").
Из viewtopic.php?t=104193 следует, что проц следует оградить от определенного мультикаста.
Что еще имело бы смысл зарубить этим CPU Interface Filtering?

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: Вопрос по CPU Interface Filtering (DES-3526, 3028, DGS-3

Добавлено: Пт сен 25, 2009 09:47

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Остальное можно сделать через функцию Trusted Host/Subnet.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 09:54

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Ну, это, конечно, сделано.
Правда я об этом не упомянул.
Эта была одна из первых опций, с которыми я познакомился.

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 09:57

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Тогда достаточно только левые мультикаст группы запретить и всё.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 11:15

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Понял.
Кстати, Trusted Host/Subnet - часть этих самых CPU Interface Filtering?
Или трастед хосты реализованы какой-нить отдельной опцией/микрухой?

Хорошо, с аксессными я понял. А я L3-ми? На них имеет резон, в дополнении к блокированию ненужного мультикаста, прибивать что-нибудь? Они ведь являются шлюзами для клиентов. Завсегда найдется [не]малолетний хацкер, который решит "хакнуть прова".

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 12:00

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да, Trusted Host/Subnet реализован на базе CPU Interface Filtering.

Если грамотно организовать безопасность на доступе и использовать Trusted Host/Subnet на агрегаторе и ядре, то у него ничего не выйдет.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 12:24

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Руслан, спасибо за ответы.
Сейчас засяду за их "претворение в жизнь"

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт сен 25, 2009 12:52

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Незачто.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:23

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Руслан, я вот тут долго обмозговывал конфиг.
У нас в сетке раздаем мультикаст с адресами 239.2.X.1/24, где X=[1,9] (т.е. от 1 до 9 включительно). Насколько вот такая конструкция избавит сетку левого мультикаста, порожденного мелкософтом, торрентами и прочей ерундой, при этом оставя возможность населению наслаждаться созерцанием правильного мультикаста:

Код:

enable cpu_interface_filtering

create cpu access_profile ip destination_ip_mask 255.255.255.0 profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.1.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.2.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.3.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.4.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.5.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.6.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.7.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.8.1 permit
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.2.9.1 permit


create cpu access_profile ip destination_ip_mask 240.0.0.0 profile_id 2
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.1 deny

?

Речь идет об аксессных свичах - 3526-х и 3028-х.

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:54

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Вполне, хотя несколько multicast групп из подсети 224.0.0.0/24 неучтены в блок листе, хотя думаю это не критично.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:56

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Слушайте, а причем тут CPU int. filt.? они же фильтруют траф попадающий на сам коммутатор, а не проходящий через него?

_________________
LiveComm

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 16:16

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Данными правилами можно защититься от переполнения таблици IGMP Snooping от левых multicast групп, таких как: 239.255.255.250 и т.д.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 07:03

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

Да, согласен. Конечно, речь идет о защите самого коммутатора, а не сетки от ненужного мультикаста.

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения