Искал количество ACL на 3326GSR и наткнулся на эту тему
viewtopic.php?t=26929&postdays=0&postorder=asc&start=0

я так понимаю функцию loopback 3828 это оно и есть?
в 3326GSR на 4.40-b16 я ее не нашел.
и собственно вопрос, а для чего предназначена данная функция?

я попытался создать такой интерфейс, он создался, но не получается прописать никакой маршрут на него.

если я правильно понял он нужен для того чтобы пакеты на несуществующие/ненужные подсети не выходили за пределы коммутатора.

тогда собственно возникает второй вопрос:

что лучше использовать для этой цели

1. прописать роут на несуществующий адрес.
2. прописать запрещающие ACL CPU
3. прописать запрещающие/разрешающие ACL на порты.
4. прописать роут на loopback

3 вариант отпадает скорее всего сразу из-за того что количество ACL сильно ограничено поэтому расходовать их почем зря не очень хорошо.

каково Ваше мнение на этот счет?

Немного не понял причём здесь DES-38XX. В серии DGS-36XX есть Null interface, который является аналогом Cisco loopback interface. Т.е. пакеты в те сети которые прописаны на него просто отбрасываются и не отправляется сообщение desination unreachable источнику пакетов. Это позволяет исключить некоторые DoS атаки. На серии DXS-33XX такого интерфейса нет. Просто маршрутизацию между подсетями или невалидные подсети лучше запрещать при помощи ACL.

3828 причем, потому что на нем есть такая вещь как loopback ipif
только для чего он нужен я немного не понял,
как я уже говорил он создается но маршруты на него никакие нельзя прописать.

Это не то. У нас такая функция как Вы хотите называется Null interface.

а что это тогда можно спросить? )
я не смог в мануале ничего про нее найти



не CPU? чем будет отличаться кстати если запретить невалидную сеть на порту, или на CPU, она же в любом случае должна через цпу пройти чтоб куда нибудь отмаршрутизироваться.

Невалидные сети рубятся при помощи ACL.

_________________
С уважением,
Бигаров Руслан.

спасибо это я уже понял) а не могли бы Вы или кто нибудь еще объяснить почему именно ACL? (а не CPU или несущестующий IP)

и собственно про функцию loopback ipif хотелось бы услышать все таки что она делает/для чего нужна.

Мне кстати тоже хотелось бы про loopback ipif услышать. Эта функция появилась в новой прошивке (на фтп нет, та что выслали), но назначение непонятно. Ну будет у коммутатора интерфейс типа "петля" с адресом 127.0.0.1, а смысл его?

я извиняюсь, но Вы немного не правильно высказались ... null интерфейс в Cisco как раз и является путем в никуда для всех пакетов которые на него роутятся через:в отличие от loopback, который в Cisco является полноценным интерфейсом ...


P.S. dst ureach с интерфейса null в cisco будет всегда, за исключением вот такой конфигурации интерфейса:

_________________
с уважением, БП

Пардон немного оговорился, всё именно так.