очень интересует возможность реализации traffic segmentation посредством ACL... TS молча режет весь траффик делая из указанных портов как бы "pot-based VLAN", в то же время очень хочется иметь возможность работы между портами нескольких, определенных в ACL, TCP/UDP портов, а во всем остальном полностью эмулировать работу TS... говоря проще - хочется TS с возможностью делать дырки для связи между портами... возможно ли это реализовать средствами ACL и если возможно то как?

спасибо

Если можно поподробнее. Но как я понял вы хотите закрыть при обмене данными между поределёнными портами только определённые TCP-, UDP-порты. Тогда можно попробовать использую привязку ACL к портам и использовать в ACL source и destination порт (TCP, UDP)

немного наооброт, я хочу закрыть _весь_ траффик между портами свича - т.е. сделать аналог TS, но при этом дать возможность пройти некоторым TCP/UDP портам... для примера, 2-й и 3-й порт видят только 1-й порт (uplink), но при этом 2-й и 3-й порт могут работать например по FTP весь остальной траффик между нимия хочу закрыть, т.е. сделать аналогпри этом имея возможность контролировать траффик между 2-м и 3-м портом...

Можно добавить их в отдельный VLAN, ограничить доступ между ними при помощи ACL - при этом оставить только ftp

так вот как раз вся фишка в том что хочется иметь их в одном VLAN... я понимаю что если они будут через L3 свич роутится например, то там можно разрешить то что нужно и все... скорее всего... а вот хочется как раз на L2 а именно на 3526 ибо нравится

DES-3828 тоже очень привлекательное устройство и механизм ACL там такой же как и на DES-3526

я не прошу мне говорить что есть лучше... я сам знаю что 3828 есть тотальный гуд и вообще всемирное счастье в одном лице... если вы готовы уговорить продавца принять все мои 3526 в обмен (с доплатой) на 3828 - моя будет только счастлив но на данный момент я хочу решить конкретный вопрос на конкретном железе

З.Ы. попросите Карагезова в студию пожалуйста с ним наш с вами диалог интереснее пойдет...

Ну просто как в ток-шоу или в театре! Я польщен и смущен таким вниманием к моей более чем скромной персоне! ))
Ладно, по делу: Иван, насколько я понял, уже ответил Вам - если задача стоит запретить хостам общаться и разрешить только, скжем, ftp - ради бога, в чем проблема? Напишите сначала разрешающий ACL для хождения того же ftp между двумя узлами, а потом - deny all

И еще - давайте все же наконе-то будем реалистами! Железо такое, какое оно есть, выше головы прыгнуть не получается, так что нужно сопоставлять, думаю, свои потребности с тем, на чем эти потребности можно реализовать.
На этом, с общего согласия, надеюсь, беседу можно считать оконченной?

_________________
С уважением, Карагезов Владислав

реалити-шоу "Форум D-Link Russia"
дело в том что лично я считаю Ваши ответы (да простит меня ув. Демин Иван) бОлее верными и близкими к делу что ли... порой Ваши и Ивана мнения по одному вопросу расходятся, при чем радикально... например мое с Вами общение на предмет flow control на порту Вы верно сказали что фича должна поддерживаться клиентом, и только 3828 (и поэтому тоже он есть всемирное счастье) наплевать включена эта фича у клиента или нет... ув. Иван же подобного не сказал, а сказал несколько другое да и много было случаев разных...
я никоим образом не принижаю заслуг и достоинств ув. Ивана, а так же нисколько не сомневаюсь в нем как в специалисте, но думаю что по поводу Вашего оборудования у Вас в офисе должна быть некая единая точка зреня... да и опять же мне в Вашем оф. представительстве почему-то говорят "обратитесь к Карагезову - он точно поможет и разрулит ситуацию..."... почему же все вспоминают только Вас? может это засада? кругом предатели и подсиживающие ув. Ивана люди? сомневаюсь... может это тот самый опыт? который оч. уважаемая в наших технарьских кругах весч...
общую логику ACL я уже оч. давно понял... меня смущает то что:
1. адреса могут быть разными, т.к. выдаются динамически
2. после разрешения хочется именно эмуляции TS, т.е. тотальное deny all from port A to port B
дело в том что я оч. надеялся увидеть пример... форум тех. поддержки всетаки...
хм... у меня уже есть отара/табун 3526, я решил сделать такую фичу (ибо просто надо!) и что? мне теперь их всех менять на свичи фирмы/марки XYZ? я хочу найти еще одно применение Вашим, на мой взгляд, хорошим свичам... давайте на чистоту - я у нага, на хаб.ру и в прочих форумах их людям советую, потому что сам юзаю и потому что они позволяют решить многие из возникающих у людей задач... может не прямо в лоб, но позволяют и работают... сейчас я ищу еще одно применение которое потом можно было бы озвучить как "port-based VLAN с дырочками для определенного типа траффика" и порекомендовать... ну русский я, русский и поэтому не ищу легких путей aka тотальная замена железа на кошколистов или еще какой нить подобный шаг
подкините рабочий примерчик - да

По пунктам:
1. Демин Иван является квалифицированным специалистом, в его компетентности лично у меня сомнений нет.
Что касается расхождений порой в ответах - каждый специалист видит решение задачи по-своему.
Что касается рекомендаций региональных офисов обращаться ко мне - это уже наша внутренняя структура, т.к. я руковожу отделом поддержки проектов и являюсь, если хотите, дсипечером по распределению задач, единой входной точкой - так удобнее.
2. По поводу вашего участия на сторонних форумах - я этого не мог не заметить и, поверьте, мы всегда дорожим нашими хорошими отношениями с клиентами! Спасибо!
3. По сути: к сожалению, как я уже писал, приходиться быть реалистами. начать с того, что подобный функционал не только никогда не заявлялся, но даже и не планировался на данном (да и на других) устройстве. Поэтому, то, что Вы просите, сделать, увы, не получится - есть определенные HW limitations.
Единстевнный возможный вариант - это, как уже говорилось, попытаться настроить ACL - конечно, это doable, но, как я подозреваю, очень мутороное это занятие.
Что касается примеров - приводить их лично Вам, думаю, смысла нет, т.к. Вы один из "продвинутых" пользователей нашего оборудования
Будут вопросы - пишите, звоните - рад буду пообщаться лично!

_________________
С уважением, Карагезов Владислав

я в этом и не сомневался! почитайте еще раз предыдущий пост - поймете... меня просто смущало:
я думаю что есть всетаки некое единство мнений в общих вопросах... это как модель OSI и корпускулярно волновая теория света
надо мне как нить с Вами списаться на предмет правильной постановки задачи руководству... а то сейчас спор об оборудовании идет, так вот Ваша точка зрения (письменная) была бы оч. кстати
я знал, за мной следят а если честно - Ваше железо хорошее, порой даже очень, но многим не всегда ясны его возможности и приходится на пальцах объяснять что "это возможно! только делать надо вот так..." может сделать на форуме некую закрепленную тему куда люди могли бы писать, а модераторы переносить чьи нибудь "готовые" решения? ну... т.е. я смог вот это, запостил, а все вопросы - в приват или в отдельную тему где это нашли... было бы оч. удобно... этакая народная база знаний (наш народ то ловок на хитрые решения), т.к. фака на всех не хватит... и кое какие тренинги, которые я получал от Ваших представителей были бы очень кстати на ftp... вместо Thumbs.db например
никто и не спорит с тем что это неординарное и я бы даже сказал в чем то безумное решение, но жисть заставляет... я попробую, но думаю что уткнусь в HW limitation по кол-ву правил в ACL... всетаки жаль что их так мало
я? вы мне льстите... я вообще ваше оборудование тока на картике видел...
как уже писал - это обязательно случиться, т.к. сейчас идет горячий спор на предмет "правильно потратить N килобаксов"...

насчет списаться-созвониться - всегда буду рад!
по поводу всенародной базы знаний - поаны есть, вопрос в технической реализации, надеюсь, сделаем в обозримом будущем.

_________________
С уважением, Карагезов Владислав