Допустим есть 36xx, агрегирует и статикой роутит 50 вланов, с одного из них сыпется жёсткий флуд в IPIF.

Флуд можно зарезать CPU ACL, обезопасив проц, однако нагрузку это не снимает. Обычные ACL на такой трафик не работают.

Как быть?

Вариант перед ним ставить нормальный фильтрующий L2 отпадает (не везде они есть).

Данную проблему я решил именно фильтрацией на нижестоящем L2. Проблема заключалась в досе DNS-Relay. cpu util в моём случае составлял 99-100%, вне зависимости от наличия или отсутствия любого вида ACL.

Т.е. CPU Interface filtering не помог в этом случае? Может быть SafeGuard Engine с определённым порогами попробовать? И кстати какая у Вас версия прошивки?

Он честно дропал пакеты на ipif, однако нагрузки это не снижало никак, работали бы обычные L2 ACL, вопросов бы не возникало.

А смысл? мне нагрузку с проца от флуда надо снижать. SGE в моём случае будет только мешать. Кстати, был включен 90/70.

2.51.B17, за исключением этого момента прошивка меня полностью устраивает и со своими остальными задачами свич справляется отлично.

Вопрос в другом: как убить ненужный трафик, направленный на ipif средствами свича, без прибегания к помощи других свичей?

2 terrible
А можно сюда выложить эти ваши CPU ACL?

_________________
не важно, из какого места растут золотые руки

create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.255 udp dst_port_mask 0xffff
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.58.200 udp dst_port 53 port 1 deny

Где 192.168.58.200 - ipif свича, 1-й порт смотрит с маршутный влан между пользовательскими вланами.

Укажите пожалуйста в личку Ваш телефон.

Указал