Собственно вопрос в том, насколько повлияют на загрузку процессора правила CPU Interface filtering ? например как описанные тут http://dlink.ru/ru/faq/62/209.html.
В настоящее время загрузка cpu ~20% , TX/sec + RX/sec =~ 80000 на аплинке, правил нет.

да никак не повлияют.
это аппаратный фильтр же.
напротив иногда даже помогает предотвратить загрузка проца)

_________________
LiveComm

Вопрос в том есть ли смысл создавать cpu_filter и что на него можно навесить.

смысл есть. ограничение доступа к свитчу, например. далее защита от флуда.

_________________
LiveComm

Вы понимаете, что Вы написали?

Правила CPU Interface Filtering обрабатываются процессором свича, а не асиками, как обычные ACL, и работают только на трафик, направленный на процессор свича: выход на интрфейс управления свичом, DHCP Relay и т.п. короче на то, что будет обрабатываться программно.

lserge, shicoy, правила CPU Interface Filtering помогут, если интерфейсы свича часто долбят досы, флудерасты и спуфинг. В случае, если у вас магистральный L3 с высокой нагрузкой, в момент доса правила спасут немного конечно, но проц в любом случае будет нагружен обработкой этих правил. Топорное решение - вышестоящий (нижестоящий) Л2 с обычными ACL.

прекрасно понимаю, что на практике CPU ACL в моём случае помогают защитить CPU устройства от паразитного трафика, который убивает свитч вообще. Как то в этом мне кажется нелогично. Ну да ладно
Как оно там обрабатывается мне вообще фиолетово) Главное что делают то, что от них хотят одмины, не создавая никакой лишней нагрузки на свитч в работающий штатном режиме.
Ну а так - как мне кажется разбор всех пакетов CPU убил бы свитч напрочь. Да и вообще разработчики никогда не добавляют даже казалось бы элементарных функций, нагружающих проц.

_________________
LiveComm

Практические примеры из реальной сети, пожалуйста.