Да, практика показывает, что при hash проблемах loose режим предпочтительнее.

_________________
С уважением,
Бигаров Руслан.

это я в курсе, потому и спрашиваю. дайте, пожалуйста, разумное тому объяснение

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

У strict и loose разное поведение в работе с FDB таблицей.

_________________
С уважением,
Бигаров Руслан.

Руслан, второй ответ - и повторение уже известной информации... можно чуточку более развёрнуто? при чём тут fdb? ACL'и не действуют на трафик с маков, не попавших в fdb? e-mail у вас скрыт - поэтому давайте тут обсуждать...

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Да, в strict режиме коммутатор не блокирует МАС адреса в FDB таблице и просто отбрасывает трафик, включая и тех МАС адресов, которых нет в FDB таблице. Коммутатор может изучить МАС адреса только для указанных в связках IP +MAC.



Мы с вами переписывались 15 января 2010г. rbigarov(a)dlink(.)ru

_________________
С уважением,
Бигаров Руслан.

мать-перемать... т.е. чтобы обойти любые ACL на коммутаторе, юзеру достаточно создать себе флудящую пару?!? это не дыра в безопасности, это железнодорожный тоннель...


какой вы злопамятный :):)

вот вам ещё загадка, связанная с сабжем...


если вторую пару мы можем пофиксить изменением мультикастовых групп на сервере, то первая пара - это явно конфликт юзера с мультикастовой группой 239.255.255.250, при этом


как убрать эту злосчастную группу с порта? она же ещё и показывается в юзерском вилане, а не в ISM... прошивка 2.54-б5, свитч 3052

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Это ещё ему надо постараться.



Заблокировать с помощью CPU Interface Filtering.

_________________
С уважением,
Бигаров Руслан.

ну, с другой стороны - при достаточном числе пользователей флудящие маки нет-нет, да и появляются сами, и если при этом ACL'и перестают действовать - какой уж тут контроль на доступе, когда абонент уже и серит всюду, и контролировать его уже невозможно... Бродком всё ещё говорит, что это не проблема? %)

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Уже объясняли всё много раз, что в ступе воду толочь?!

_________________
С уважением,
Бигаров Руслан.

объясняли в ключе "ну, флудит - с кем не бывает, ничего страшного". но ведь до этого никто не упоминал, что при этом трафик флудящего абонента _абсолютно_ не контролируется ACL-ями. так что водичка-то ещё больше подпортилась...

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Вы, наверно, что-то не так поняли. ACL как работали страфиком, так и будут работать, даже, если трафик приходит от hash MAC-а.

_________________
С уважением,
Бигаров Руслан.

тогда я совсем не понимаю, чем различаются обычные ACL и IPMB ACL... почему все вроде равны, но некоторые ровнее?..


а можно подробнее? что именно блокировать? после

группа 239.255.255.250 всё ещё светится в igmp_snooping group, но телевизер уже не показывает...

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Сначала пакет попадает по IMPB ACL, если он их прошёл, то он попадает под стандартные ACL.



Тогда уж так:
create cpu access_profile profile_id 1 ip destination_ip 255.255.255.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-48 permit
config cpu access_profile profile_id 1 add access_id 2 ip destination_ip 233.0.0.0 port 1-48 permit
create cpu access_profile profile_id 2 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.0 port 1-48 deny

И после создания CIF правил нужно ещё сделать:
dis igmp_s
ena igmp_s

И потом проверять.

_________________
С уважением,
Бигаров Руслан.

и первые, в отличие от последних, не видят флудящие маки, так?


спасибо, просто перестарался с портами, зафильтровал аплинки - видимо, из-за этого не работало. ну и первые 224.0.0.0 для нормального выхода из группы.

после en igmp_s группа 239.255.255.250 появляется почти сразу же, только без мемберов. ждём возвращения того пользователя - посмотрим, будет ли флудить

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Не всё так просто, всё зависит от настроенного режима IMPB, и даже, если МАС флудящий(т.е. на лицо хеш проблема) и ACL-ями данный тип трафика разрешён, то трафик пройдёт.

_________________
С уважением,
Бигаров Руслан.