Ситуация следующая, DXS-3326GSR используется как маршрутизатор между VLAN, помимо него есть еще маршрутизатор между двумя провайдерами Cisco 2801. На этом Cisco прописан маршрут до всей нашей сети xxx.xxx.xxx.0/24 через DXS-3326GSR.
На DXS-3326GSR установлен default маршрут через Cisco.
24ая IP сеть xxx.xxx.xxx.0 поделена на подсети и не все IP из нее еще прописаны на DXS-3326GSR. Соответственно, когда проходит скан портов на не прописанном IP каким-нибудь хрякером, то Cisco отправляет этот запрос на DXS-3326GSR, а тот, в свою очередь, по Default маршруту обратно на Cisco и так пока TTL не истечет.
На Cisco все решается просто - прописывается сеть xxx.xxx.xxx.0 в null интерфейс. В D-linkе же ничего подобного обнаружить не удалось.

Есть какое-то решение этого вопроса?

На коммутаторе L3 это сделать нельзя.

а может имеет смысл использовать ACL ?
просто блокировать пакеты, идущие в немаршрутизируемые сети и из них?

как я понимаю отработка ACL происходит до этапа Routing/Switching

Demin Ivan - ну это не совсем правильно, ведь именно L3 и создан для упрощения работы пограничного коммутатора. А без этой функции теперь необходимо дублировать настройки на пограничном маршрутизаторе, соответственно увеличивая там таблицу маршрутизации. Т.е. чтобы добавить подсеть, нужно прописать маршруты как на пограничном роутере, так и создать интерфейс на DXS-3326GSR. Добавьте, пожалуйста, реализацию этой функции в todo лист следующей прошивки

the_dark_one - это тоже самое, что и описанный пример выше, только вид сбоку, на каждую подсеть надо будет свое правило, при добавлении новой подсети, не забыть убрать правила блокировки для нее из ACL. Как то все сложно, но, видимо без головняков не обойтись с этим коммутатором.

Блин, до этого момента меня в нем все устраивало...

Необходимо просто понять, что коммутатор L3 это не маршрутизатор. Вы могли бы назвать модели L3 где эта функция реализована?

На данный момент не могу, т.к. другими не пользовались.
А если я выделю отдельный порт, занесу его в какой-нить VLAN, в котором больше ничего, кроме этого порта не будет. Создам интерфейс с xxx.xxx.xxx.50/24. При этом будут еще нормальные рабочие интерфейсы вида xxx.xxx.xxx.1/27, xxx.xxx.xxx.44/30 и т.п. - то пакеты на /27 и /30 подсети будут нормально ходить? а все остальное будет ли уходить на этот спец порт и там, соответственно уходить в никуда?

и, кстати, если в других L3 коммутаторах нет NULL интерфейса, а вы у себя создадите - то цены ему не будет

Можно порпробовать реализовать это при помощи функции CPU Interface filtering. Назначьте ACL на интерфейс CPU, запрещающий эту подсеть. таким образом маршруты к этим узлам не будут даже добавлены в IPFDB. Надеюсь мысль понятна.

Решил проблему проще: прописал просто маршрут на DXS-3326GSR к xxx.xxx.xxx.0/24 через не существующий IP шлюза, но находящийся в существующей подсети. Правда пока не ислледовал, сильно ли будут грузить arp запросы L3 коммутатор на не существующий IP.

Можно еще вместо несуществующего IP шлюза указать реальный IP како-нибудь сервера, который уже будет дропать пакеты, не проходящие через его (сервера) firewall.

Demin Ivan, есть ли какой подводный камень в описанной схеме? Буду признателен за ответ.

В Вашем случае похоже нет.

ну и чудно

gate# show ip route static
IP Route Entries

Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 xxx.xxx.xxx.249 1 static 1 1

Иван Демин -"Необходимо просто понять, что коммутатор L3 это не маршрутизатор. Вы могли бы назвать модели L3 где эта функция реализована?"

Ошибаетесть L3 коммутатор - это многопортовый маршрутизатор =)
Пожалуйста HP 3400 =)


gate# show ip route static
IP Route Entries

Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 xxx.xxx.xxx.249 1 static 1 1
10.0.0.0/8 reject static 1 1


gate(config)# ip route 10.1.1.1/32 <tab>
GW-IP_ADDR Specify gateway IP address.
reject Specify that packets are discarded and ICMP error is
returned to sender.

Те варианты решения проблемму - большой изврат.
Прошу доработать прошивку
[/quote]

Для данной модели это невозможно. А по поводу маршрутизируещего коммутатора это не совсем просто многопортовый маршрутизатор. Есть свои особенности и ограничения. Хотя бы взять то, что маршрутизатор всё делает в софте, а коммутатор нет. Этот функционал есть в серии DGS-34XX, будет в следующей прошивке к серии DES-38XX и в серии DGS-36XX.

[quote]
Хотя бы взять то, что маршрутизатор всё делает в софте, а коммутатор нет.
[/quote]
да ну... =)

Как оператору работать с DXS-3326GSR если он не позволяет приземлять подсети?

Попрошу дополнить мануал =)

[quote]
...прописать просто маршрут на DXS-3326GSR к xxx.xxx.xxx.0/24 через не существующий IP шлюза
[/quote]

сейчас стоит ц3550, надо менять на более мощное устройство, присматриваюсь к длинкам dgs33xx dxs33xx, ненашел как прибить пакеты к неизвестным приватным сетям, и только 8 акл профилей

c3550

ip route 10.0.0.0 255.0.0.0 Null0 254
ip route 10.0.0.0 255.255.0.0 192.168.20.1 3
ip route 172.16.0.0 255.240.0.0 Null0 254
ip route 192.168.0.0 255.255.0.0 Null0 254


очень нехочится тратить 3 профеля для фильтрации