alexxr61
вроде ж ACL-ями это делает элементарно
alexxr61
для этого админы есть
Микола
возьмите необыкновенного
Микола
или железку подороже, в которой для вас написали АЦЛ и засунули в алиас (короткую команду)
Dmitry
для этого админы есть
нету админов. есть монтажник, который и сам себе админ, и инженер, и монтажник
Микола
см выше
Butch3r
Butch3r
Просто на наге пишут что работают в нем sfp 100
alexxr61
точнее так - работа 100М sfp в 1510 не обещана. если вдруг что-то завелось и работает - это так получилось. если что-то не заводится - поддержка 100М не заявлена
Dmitry
ребят, поддержите мой feature request
Butch3r
alexxr61
иногда провам бывает нужно подключить несколько старых линий - у которых на другом конце только 100М, а возможности поменять железо на другом конце пока нет
Dmitry
Для всех, где есть ACL
Микола
это попытка запросить у вендора одну кнопку "сделать пиздато"
Butch3r
Можно забыть о них
alexxr61
это попытка запросить у вендора одну кнопку "сделать пиздато"
именно. учитывая, что всё, что нужно, чтобы самому сделать 20 таких кнопой, уже есть
Butch3r
это попытка запросить у вендора одну кнопку "сделать пиздато"
Ну сделали же filter netbios
Микола
DGS-3120, DES-3028, DES-3526, DES-3200, DES-1210/ME
вы просите выловить для Вас рыбу в каждом из озер, когда всего-то надо уметь пользоваться удочкой
Dmitry
именно. учитывая, что всё, что нужно, чтобы самому сделать 20 таких кнопой, уже есть
Нет. Работаю с кучей народа, у которых сотни длинков. Ни один из них не осилил ACL
Butch3r
На 3200 c1 бы не помешал :)
Butch3r
Butch3r
Ну тогда это жуть
Микола
Нет. Работаю с кучей народа, у которых сотни длинков. Ни один из них не осилил ACL
Живу в районе, где соседи бутылки собирают. Ниодин из них не сидел за рулем бентли
Микола
вот это реально грустная действительность
Butch3r
Да это фигня. При первой задаче все там с акл разбирается
Dmitry
Это аргумент, чтобы не делать кнопку "зашибись" ?
Dmitry
Гораздо проще сделать alias, чем разбирать неправильно настроенный PFC ACL
Butch3r
Нет, я за сделать на des3200
Микола
Гораздо проще сделать alias, чем разбирать неправильно настроенный PFC ACL
так вам карты в руки, сделайте себе алиас
Butch3r
Сколько тысяч свичей у вас таких ?
Anonymous
Всем привет, кто-нибудь ставил acs dlink?)
Butch3r
Там первое что спросят сколько свичей у вас .
У меня где-то 700 и меня никто слушать не будет 😂
Anonymous
Поиграть ставил
А было так что устройства весят во вкладке ожидаемые устройства и не туда не сюда их
Dmitry
Там первое что спросят сколько свичей у вас .
У меня где-то 700 и меня никто слушать не будет 😂
Я управляю только L3 железками, у меня их десятка 3-4. Всем, что ниже - управляют местные монтажники-админы
Butch3r
Dmitry
Но это реально убер-фича для access железок. Не понимаю, почему бы ее не сделать
Butch3r
А это кстати через акл или кпу акл делается ?
alexxr61
А это кстати через акл или кпу акл делается ?
смотря что. есть просто 239.* полностью обрезать - через ацл
Butch3r
Вот тогда понятно почему нет команде
Там и так профилей не фонтан а так она один сожрёт
Dmitry
еще раз повторюсь. Из знакомых мне человек 20-ти монтажников-админов, ни один не освоил ACL
Butch3r
Ну это ваша лень. Я кпу акл на 3120 всегда накатываю
Dmitry
Причем, каждый из них рбслуживает сети по 3-4К абонентов
Butch3r
И что там можно не понять - не ясно
Dmitry
И что там можно не понять - не ясно
ACL используется тогда, когда задачу нельзя сделать штатными средствами.
Dmitry
Например, отфильтровать BPDU
Dmitry
Причем, по странной логике, ACL должен быть дублирован как на порту, так и на CPU
alexxr61
это - по поводу странной логики - в бродкому. как спроектировали чипы. делать софтверные ACL-и - убивать производительность под корень
Dmitry
Ну так я и предлагаю минимизировать ACL
Dmitry
с клиентского порта, в 99% случаев может прийти броадкастом только arp или dhcp запрос
Dmitry
Это обычное поведение access свича
Dmitry
а то у нас сейчас есть bpdu_protection, через который "пролетают" PVST пакеты
Dmitry
filter dhcp_server, который пропускает пакеты "наверх"
alexxr61
с абонентского порта (в корпоративных сетях всё куда прощем, чем в провайдерских) может пойти вообще всё, что угодно. поэтому к коммутаторам доступа у взрослых провов масса требований, ибо эти коммутаторы должны фильтровать вообще всё, что с точки зрения прова лишнее
Dmitry
ну так я и хочу "серебрянную пулю" для провайдеров
Dmitry
У 99% провайдеров всего две технологии: IPoE и PPPoE
Dmitry
В обеих случаях, с абонентского порта не должен сыпаться "мусор"
Dmitry
https://en.wikipedia.org/wiki/EtherType
Dmitry
запретить все, кроме 0x0800, 0x0806 для IP; 0x86DD для IPv6; 0x8863, 0x8864 для PPPoE
Dmitry
Для 0x0800 и 0x86DD броадкаст разрешить только для DHCP и DHCPv6
alexxr61
0x9000 ещё забыл
alexxr61
это как минимум
Dmitry
точно
alexxr61
на самом деле основная масса фильтров лежит в области, когда у нас не ethertype, а 802.3 length field
alexxr61
это пока мы с ethernet-ом работает
Dmitry
мои знакомые, например, никогда не включают фильтры "extended_netbios" и "RPC", потому как нигде внятно не сказано, что они блокируют
Dmitry
Вопрос к сотрудникам d-link. Появится ли когда-нибудь возможность с помощью bpdu_protect блокировать PVST ?
Микола
switch@dlink.ru сюда пишите