Вот кусочек конфига , запрещает лишние широковещательные пакеты , а также дает способ защиты от несанкционированого доступа по типу ACL
Код:
# ACL
# разрешаем dhcp от клиента
create access_profile ip destination_ip_mask 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 255.255.255.255 udp dst_port 67 port 1 permit priority 5 replace_priority
# разрешаем ARP и блокируем флуд
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1 permit
config access_profile profile_id 3 add access_id 26 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1 deny
# создаем правило для клиента ( привязываем к порту )
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 01-11-21-31-41-51 port 1 permit
# блокируем весь остальной траффик
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 200
config access_profile profile_id 200 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1 deny
если защита ненужна то последние 2 профиля ненужно создавать.
производительность думаю не выростит , если только у вас сеть не падает об широковещательных штормов , но резальтат всеравно будет заметен ( сеть может работать лучше ).
Вход
Регистрация
FAQ
Поиск
