От всех или какого-то конкретного типа?

_________________
С уважением,
Бигаров Руслан.

Хотелка: работоспособность обычных ACL на пакеты, направленные в IPIF коммутатора на серии DGS-36XX. Реально?

У нас в сети встречаются в основном arp и icmp флуд. Время от времени трафик на интерфейсы l3-свича создают вирусы, пользовательские роутеры с ошибками в настройках или ПО.

Частично проблема решается на доступе блокировкой CIFS и механизма traffic control типа такого:



Но полностью проблемы это не решает. Нужна подстраховка на l3.

На самом деле полностью перекрывать тип 8 ICMP тоже не самый хороший вариант, да и на доступе это сделать не так просто особенно на 3550 (банально не хватает acl).

В идеале если бы "аппаратные" ACL могли бы ограничивать трафик на самом 36-том до его попадания в CPU типа такого



Проблема защиты l3 решалась бы легко и эффективно, при этом крайне удобно с точки зрения администрирования и оперативного реагирования на проблемы.

2 terrible > Есть же CPU Interface Filtering.

2 Arti_ > Про возможность добавить Flow Meter в CIF нужно уточнять.

_________________
С уважением,
Бигаров Руслан.

Руслан, любая фильтрация на CPU не может защитить CPU по определению.

Я в каждом своем сообщении в этой теме это подчеркивал.

Минимум в двух сообщених я спрашивал Вас "невозможность фильтрации пакетов до их попадания в CPU т.е. аппаратные acl ДО CPU - это особенность архитектуры устройства или это поведение можно исправить программно, напрмер в следующей версии ПО?"

Участник форума terrible спрашивает Вас ровно об этом же.

Я задаю это вопрос не из праздного любопытства. Мне нужно определится со стратегией. Сейчас сеть построена с тем расчетом, что трафик идущий на интерфейс l3 свича МОЖНО ОГРАНИЧИТЬ НА САМОМ l3-СВИЧЕ АППАРАТНО. Опять же невозможность фильтровать трафик идущий на интерфейс l3 свича АППАРАТНО в моем случае заставит меня отказаться от стека, чтобы на отдельных устройствах можно было всетаки контролировать трафик идущий "транзитом", плюс придется думать как впихнуть дополнительные проверки на доступ.

Опять же сейчас 3-штуки 3627G пока стоят на столе, реально мне нужно минимум еще 3 - опять вопрос мне лучше избавиться от тех трёх что у меня на столе или купить ещё три?

Руслан, я Дёмину Ивану скидывал свой телефон в личку, очень хотел с ним по этому поводу поговорить.

Вы знаете, о чём идёт речь, прошу вас или тут или в приват мне и Arti_ предоставить необходимую информацию по функционалу, по возможному функционалу и сроках либо инфу о физических ограничениях.

Как только встречусь с Иваном, мы всё обсудим и потом я сообщу Вам по результатам.

_________________
С уважением,
Бигаров Руслан.

To Arti_:

Укажите пожалуйста в личку Ваш телефон.

Иван, позвоните мне пожалуйста, я вам телефон в личку скинул

А можно будет опубликовать итоговую информацию по этому вопросу на форуме?

terrible, Вам что-нибуть сообщили? Можно отписаться здесь если появилась информация?

Arti_, никто не звонил. Походу дела нужно отказываться от L3 агрегации на длинках. Сейчас думаю по поводу или кошек или телесинов.

Я тоже хотел на чем-нибуть другом но не получилось.
В этом и был манёвр ставить на агрегацию 3600 - т.к. они относительно дёшевы, есть версия с 24 sfp, а имея l3 можно легко отделить "пользовательский" l2 от опорной сети, кроме того растет число CPU пропорционально числу пользователей.

У меня вообще давно используются телесины.

Прямой конкурент 3600 я думаю это x600. Правда x600 дороже и нужна дополнительная лицензия. В живую x600 не видел - интересующие свойства лучше уточнять. Сейчас из новых телесинов есть один x900.

В общем чего надумаете - напишите пожалуйста в личку.

cisco 3550-12T + d-link dgs-3100-24tg = менее глючный вариант. цыска нынче такая стоит также как и 3612Г $1200.

у dgs-3100-24tg жутко тормознутый SNMP, на ISP его использовать не айс.