Здравствуйте. Появился вопрос по работе acl в des-3526. Ситуация такая. В свич воткнуты сервер, тестовая машина ну и еще чуток. Сервер кидает на свич acl, разрещающие доступ его и некоторых остальных машин по связке ip + mac (packet content mask), но кроме тестовой машины. Потом добавляется еще один профиль для блокировки всех остальных, вот такой:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 200
config access_profile profile_id 200 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
и так до 26 порта. После заливки правил тестовая машина с сервера перестает пинговаться. Но с тестовой машины и других, для которых также нет разрешающих правил, сам коммутатор остается доступен. Это так и должно быть? Как исправить сие недоразумение. Прошивка 5.01-B36.

Так и должно быть. Есть три варианта решения:
1) Вынести управление коммутатором в отдельный Vlan(отличный от клиентского)
2) Использовать CPU ACL
3) Использовать Trusted Host

_________________
Best regards,
D-Link Moscow

Спасибо. Все ясно. А тогда такие вопросы:
1) Что по производительности лучше, CPU filtering или отдельный VLAN, или примерно одинаково.
2) В CPU filtering вроде 3 правила можно добавить?
3) Можно настроить два VLAN на одном порту коммутатора? Нужно будет на порту клиента (т.е. сервер) тоже настраивать два VLAN, два IP?

1) vlan производительнее
2) да
3) да можно. Да нужно натраивать клиентский порт. При этом сетевая карта должна поддерживать 802.1q

_________________
Best regards,
D-Link Moscow

так и должно быть потому что пакеты направлены непосредственно CPU свича и обычные ACL эти пакеты не видят ...

отдельный VLAN для управления - это идеологически более правильное решение, но не всегда разумное, иногда достаточно либо Traffic Segmentation либо Assymmetric VLAN

можно ... 2-мя вариантами:
1. обычные, стандартные VLAN - сетевая карта в этом случае должна уметь понимать и проставлять теги
2. ассиметричные VLAN - достаточно настроить свич

_________________
с уважением, БП

Я полагаю, что Trusted Host базируется на механизме CPU filtering, и соответственно проигрывает по производительности в сравнении с VLAN. Так ли это?

И назрел такой вопрос. Возможно ли как-то снизить широковещательный трафик на коммутаторе, не разбивая существующую подсеть на несколько разных подсетей и соответственно не применяя маршрутизатор (т.к. в качестве маршрутизатора нечего поставить). Функция широковещательного шторма, как я понимаю, просто банит пакеты, а есть ли что-нибудь более интеллектуальное?

ACL )

И только лишь? А что именно резать? Сдается мне что без деления на подсети задачу решить нереально.

что именно резать зависит от того что для Вас валидно, а что нет.

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.