Проверил и появилось небольшое уточнение
Добавил одно единственное правило запрещающее все по ip в отдельно взятой vlan. Обязательно проходит один пакет, затем видимо срабатывает фильтр и больше пакеты не идут. Пробовал добавить ethernet фильтр запрещающий всё, но эффект тотже. Замечено что если пинговать несуществующий ip, запись о нем в ipfdb появляется. При чистке arp таблицы один пакет также проскакивает. Помогает только включение cpu фильтра, и в этом случае в ipfdb записи не добавляются.

Описанная выше проблема будет решаться?

gпроерим и сообщим по результатам.

_________________
С уважением, Карагезов Владислав

В вашем случае помогут настройки следующего плана
enable cpu_interface_filtering
create cpu access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.0.0.0 profile_id 10
config cpu access_profile profile_id 10 add access_id 1 ip vlan vlan2 source_ip 192.168.0.0 destination_ip 10.0.0.0 deny

Спасибо! Помогло. Правда, осталось непонятным как тогда в 3326 пакеты ходят.

А что вам конкретно непонятно?

Думаю, пакеты не должны были попадать в cpu, если настроен обычный фильтр пакетов, иначе правил не напасешься (любое сканирование сети заполнит ipfdb, а при заполненной ipfdb у меня dhcp relay, например, не работает, который сильно нужен). ipfdb вообще непонятно работает, как я понял, в циске аналогия ip cef, но там не добавляется отдельная запись для каждого ip, а агрегируется в одну запись по возможности.
Интересно существуют ли подобные проблемы в 3828 (это я про заполнение ipfdb, dhcp relay и агрегацию записей)?

Так как раз это и решает CPU Filtering

Как cpu фильтр поможет в следующей ситуации?
сеть (1) ---vlan 2--- 3326sr ---vlan 3--- 3326sr ---vlan 2--- cеть (2)
С помощью двух 3326SR обьединяются две сети 172.16.0.0/16 (1) и 172.17.0.0/16 (2) через маршрутизацию. На первом 3326SR для этого поднят интерфейс vlan2 c ip 172.16.0.1/16 и на втором vlan2 c ip 172.17.0.1/16. Между 3326 vlan3 c ip 10.1.1.1/30 и 10.1.1.2/30. В обоих сетях хостов значительно больше чем ipfdb. Т.е. ipfdb железно будет переполнена при активном обмене между двумя сетями. Обычные фильтры я естественно не настраиваю, т.к. просто обьединяю сети.

ps. Понимаю что 3326sr стареющая модель, поэтому интересен алгоритм работы 3828. Как он справится с подобной ситуацией? Больше чем уверен, что в циске я бы ни задумывался об размере ipfdb (cef таблицы).

Сколько у вас хостов в каждой подсети?

Я теоретический пример привел. Допустим хостов 65000 в каждой подсети.

Наверно это много для 3326. MAC таблицы не хватит. Пусть тогда будет 8000 хостов

Надо всегда рассматривать применительно к какому-нибудь практическому примеру, но для DES-3326SR это конечно очень много. Для сетей таких масштабов нужно использовать коммутаторы серии XStack или DES-6500 (как я понял в качестве уровня ядра сети)

Тогда другой пример. Через 3326 я даю доступ через маршрутизацию в интернет ограниченному числу пользователей (например их 10). IP адреса у пользователей реальные. Они ходят в интернет, заходят на всякие разные сайты, число ip адресов сайтов легко превысит размер ipfdb. И для каждого ip сайта будет запись в ipfdb.

Дело в том, что при заполнении таблицы IPFDB наши коммутаторы предусматривают удаление самых старых записей независимо от того истекло ли их время жизни в таблице