URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9934
[ Назад ]

Исходное сообщение
"Catalyst 2924XL"
Отправлено Gnom , 25-Фев-06 18:36

Добрый день!
подбирваю оборудование для сети.
машина 2924XL неплохая, но не имеет ACL (3,4 уровня)
а в наши тепични сетевыые будни было бы неплохо фильровать часть "плохого" тьрафика на уровне доступа...
Как я понимаю ближайшая модель с поддержкой ACL это 2950-24
(меня интересуют 24-портовые устройства) ???
Так же вопрос
1. acl исполняются на ASIC грузить камень не будут ?!
1. 2048К МАК на устройство
Если я собираюсь "гвоздями" юзерово прибевать к порту
т.е. ПОРТ-УЗЕР
например РУТЕР----коммутатор(23 свободных порта = 23 ЮЗЕРА. 23МАКА)
если каки ниь оганичения в которые можно упереться....???

Содержание

Catalyst 2924XL,edwin, 07:50 , 26-Фев-06
- Catalyst 2924XL,Gnom, 12:03 , 26-Фев-06
Catalyst 2924XL,Влад, 10:15 , 26-Фев-06
- Catalyst 2924XL,Nailer, 13:44 , 26-Фев-06

Сообщения в этом обсуждении

"Catalyst 2924XL"
Отправлено edwin , 26-Фев-06 07:50

http://www.cisco.com/en/US/products/hw/switches/ps628/produc...

"Catalyst 2924XL"
Отправлено Gnom , 26-Фев-06 12:03

Да, согласен.
т.е. ACL будет грузить камешек!?
Нет я имел ввиду простенькие acl вида:
deny tcp any any eq 136
    deny tcp any any eq 137
    deny tcp any any eq 138
    deny tcp any any eq 139
    deny tcp any any eq 445
    deny udp any any eq 135
    deny udp any any eq 136
    deny udp any any eq netbios-ns
    deny udp any any eq netbios-dgm
    deny udp any any eq netbios-ss
    deny udp any any eq 445
Незнаю в сети стоит 2950, вот с таким ацл некакой загрузки нет
Т,е, на 2924 вообще ACL отсутвует ?

"Catalyst 2924XL"
Отправлено Влад , 26-Фев-06 10:15

забудь про ACL
они там годятся только чтобы хосты на портах по IP фильтровать да политики еще ими можно
потому что
вопервых ACL там могут быть только одношаблонные
то есть если у тебя первая строка
permit tcp host a.b.c.d any eq www
то все остальные могут быть только
permit tcp host w.x.y.z any eq www
строк другого формата в этот же ACL уже не всунуть
во вторых на больших аксесслистах свич просто сдохнет

"Catalyst 2924XL"
Отправлено Nailer , 26-Фев-06 13:44

>забудь про ACL
>они там годятся только чтобы хосты на портах по IP фильтровать да
>политики еще ими можно
>потому что
>вопервых ACL там могут быть только одношаблонные
>то есть если у тебя первая строка
>permit tcp host a.b.c.d any eq www
>то все остальные могут быть только
>permit tcp host w.x.y.z any eq www
>строк другого формата в этот же ACL уже не всунуть
>во вторых на больших аксесслистах свич просто сдохнет
Неверно.
permit tcp host w.x.y.z any eq www
permit tcp host w.x.y.z any eq ftp
permit tcp host a.b.c.d any eq www
permit udp host w.x.y.z any eq dns
permit udp host a.b.c.d any eq www
Все эти строчки попадают под определение одношаблонного ACL.
permit udp host w.x.y.z any eq dns
permit udp host a.b.c.d f.h.k.l eq www
Вот это - разные шаблоны (маски).
Кроме того, в листе могут быть одна _маска, заданная пользователем_, и несколько стандартных.
Исполняются acl на асике, только много слишком строк не пишите и опцию log не ставьте, а то все пойдет на проц ;-)