День добрый.
Имеем des-3828 в центре и н-ое кол-во 3028.
на 3828 загрузка процессора 100%. Покапавшись в форуме на предмет атак нашел ACL которые помогают.

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-28 permit
config access_profile profile_id 1 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-28 deny

Загрузка на центре падает до 10%, но при этом возникает проблема. Не ходят запросы на DHCP сервер.
Help me.

сколько же у вас машин в сети находится, что закрывание бродкастов столь значительно влияет на загрузку CPU?
управление вынесено в отдельный VLAN?
может следует лучше на сегменты разбить?

а чтобы DHCP заставить работать - нужно создать перед этим профилем ещё один, который будет разрешать DHCP пакеты. (помните, что ACL работают до первого совпадения пакета с каким-либо правилом)

_________________
LiveComm

Машин в сети порядка 500-700.
управляющий VLAN вынесен.

По поводу борьбы с флудом использовал след. вариант.
По идее вот это должно было разрешить DHCP.
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000044 0x0 0x0 port 1-28 permit
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000043 0x0 0x0 port 1-28 deny

И вторым access_profile-ом шел тот что в первом посте.

Но как то DHCP не работало.

Версии прошивок?

На 3828
show firmware information
1 4.50.B14 5181923 2008/10/18 21:45:49 89.223.6.204(W)
*2 4.61.B09 3791725 2009/11/12 15:40:39 192.168.2.1(T)

Изначально 1-ая. Но и на 4.61.B09 все так-же.
На 3028 Build 2.40.B10 .

не помню, как в 3828 и 3028, а в 3526 правило разрешающее dhcp_relay отрабатывает раньше ACL, поэтому кусок кода:

отлично работает, может для твоих свитчей тоже поможет.

p.s. у меня нет управляющего вилана, поэтому первое правило нужно переделать.

Сделать:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-28 permit
config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-28 deny

А первым профилем разрешить пакеты UDP dst 67.

И на 3028 и 3526 настроить и использовать Traffic Control.

_________________
С уважением,
Бигаров Руслан.