Насколько я понимаю, вот эта конструкция работает

delete access_profile profile_id 8
create access_profile ethernet ethernet_type profile_id 8
config access_profile profile_id 8 add access_id 1000 ethernet ethernet_type 0x800 port 1-26 permit
config access_profile profile_id 8 add access_id 2000 ethernet ethernet_type 0x806 port 1-26 permit

delete access_profile profile_id 9
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 access_id 1000 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny


А нельзя ли сделать как то так
delete access_profile profile_id 8
create access_profile ethernet ethernet_type profile_id 8
config access_profile profile_id 8 add access_id 1000 ethernet ethernet_type 0x800 port 1-26 permit
config access_profile profile_id 8 add access_id 2000 ethernet ethernet_type 0x806 port 1-26 permit
config access_profile profile_id 8 add access_id 6000 ethernet ethernet_type XXXXX port 1-26 deny


Где вместо XXXXX проставить какую нибудь маску.
Если можно то, что проставить?

Может так?
config access_profile profile_id 8 add access_id 6000 ethernet ethernet_type 0xFFFF port 1-26 deny


Просто требуется освободить один access_profile под другие цели ...

delete access_profile profile_id 1
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 1-по_какой_порт permit
config access_profile profile_id 1 add access_id кол-во_портов+1 ethernet ethernet_type 0x800 port 1-по_какой_порт permit

delete access_profile profile_id 2
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-по_какой_порт deny

типа того... номера профилей измените в соответствии с пожеланиями НО, советую 806 протокол держать 1-м в списке, для скорости, т.к. пакеты матчаться по номерам профилей...

а Вам разве не хватает 9 профилей? вообще огласите ТЗ

Дело в том, что человек хотел это сделать при помощи одного Access Profile, а это действительно невозможно

дык главное имхо - понимание принципов, а там дальше уже дело техники

200 (100 на гигабит) рулесов на каждые 8 портов + 800 всего на свич + всего в 9 профайлах очень мало ...

при верном использовании - хватит... не хватает - ставьте в корке каталиста и играйтесь с ACL на здоровье

Хватит только в простой сети ...
Когда нибудь так и придется делать, но пока бюджет не позволяет ...

Пока есть вариант использовать CPU Interface Filtering
Вопросы по нему следующие:

1) В каком порядке выполняются? После хардварных или по номеру?
2) Насколько сильно грузят процессор?

Если выполнение происходит по номеру, то в принципе можно разрулить мою ситуацию создав cpu access_profile для наименее объемных типов трафика.

Выполняются также как и ACL, предотвращают попадания указанных пакетов на интерфейс CPU для обработки

что Вы под этим подразумеваете (кол-во подключенных портов)? имхо в сети в 200-300 портов все можно разрулить и на 3526 с их маленьким кол-вом фильтров, главное _правильно_ их настроить... если же у Вас бОлее 1500-2000 портов то... собсно опишите хоть ТЗ чего Вы хотите то, а то какой то абстрактный разговор получается


если у Вас действительно _большая_ сеть - то я удивлен тем что в ядре у вас нет каталиста эдак 4500 почему именно такого? ну... слово netflow Вам о чем нить говорит? если же Вам нужна просто замена 3526 - Вам в сторону 2950-х каталистов смотреть надо... да, это "другое оборудование, за другие деньги"(с)А.Щаднев, но кто жеж знает Ваши запросы кроме Вас?

А разрешите полюбопытствовать - в чем преимущество сейчас 2950 перед 3526? Нет, кроме шуток?

_________________
С уважением, Карагезов Владислав

ну хотя бы вот ну и прочие вкусности от индусов... и это на
поймите меня правильно, мне очень нравятся Ваши свичи (активно их юзаю и абсолютно доволен), но скудность (в плане кол-ва профилей) ACL в них просто убивает опять же учитывая то что ACL будет юзаться для QoS то из 9 возможных профилей остается всего 7 (2 уйдет на описание TCP и UDP портов), чего, согласитесь крайне мало для описания правил разрешения/запрещения определенных типов траффика... например я крайне хотел бы сделать вот так:
- заблокировать NETBOIS и прочий ненужный мне траффик
- назначение определенным пакетам с конкретными TCP/UDP src_port приходящим с определенных портов неких DSCP меток и приоритетов (на кошкароутерах смотрящих в инет я могу поставить метку, а вот на серверах под FreeBSD - нет )
- разрешить только IP траффик с назначением ему в рамках политики приоретизации приоритетов и меток

в общем, я хочу сделать на Вашем оборудовании вот такое - линк на оригинал и перевод. поможете советом/примером реализации на Вашем оборудовании - по гроб благодарен буду

ок, понятно.
по поводу кол-ва профилей - здесь, к сожалению, вряд ли получится что-то изменить.
Что касается QoS при помощи MPLS - ну, все же 3526 это не та железка, на которой это возможно Думаю, Вы это понимаете.
Пишите - пообщаемся.

_________________
С уважением, Карагезов Владислав

свят, свят... мне еще MPLS для полноты ощущений не хватало я хочу "простого" QoS согласно "QoS Baseline marking recommendation"...

Можно



бОлее



ТЗ: Для более детального управления трафиком на ПЕРИФЕРИИ сети бОльшее количество ACL



Где написано, что мне надо настроить свич стоящий в ядре сети?



Где написано, что у меня 3526?
Мои свичи DES-3828 и находятся они НЕ в ядре сети, а на ПЕРИФЕРИИ(!!!). 2950 туда никак не встает из-за ограничений по кол-ву вланов (~255), коих туда можно запихать.

а что именно вы собираетесь разруливать то? я вот что то не пойму почему вам не хватает 9 профилей на переферии, честно... опять же не ясно что Вы понимаете под "детальным управлением трафиком на переферии"? я вот например хоть опсал что я хочу

да нигде, это было мое предположение

я рад за вас, что у вас такие хорошие железки но все равно не могу понять почему вы ими не довольны вам хотелось много вланов, возможности flow control на своей стороне (без разницы включен он или нет на РС), jumbo фреймов и т.д. - вы их получили с полна, теперь вы хотите, имхо, нереального, а именно получить некий мега инструмент который удовлетворит все ваши потребности в ACL... по поводу оных ACL могоу сказать что даже на 6500 профилей столько же сколько на 3526 (если я не прав - поправьте мя плииз)

подводя итог - или Вы определитесь что Вам нужно <255 VLAN и будете ставить каталисты в коих ACL будет более чем предостаточно и они с лихвой покроют Ваши нужды, или забываете про "хитрые" варианты ACL и прочие "детальное управление траффиком"(с) и наслаждаетесь жизнью с Вашими _хорошими_ (а это так!!!) железками и думаете как все впихнуть в 9 профилей... каждой задаче - свое решение