ingress

свечи, дорогое нижнее бельё

имхо, при q-in-q мультикаст влан ведётся просто в сервисном таге без двойного тегирования. клиент запрашивает группу или просто ловит мультикаст? пробовали igmp snooping выключить в конкретном влане?

в конце неявный денай, надо deny tcp any any eq smtp permit ip any any

Вот такого плана и нужно, только бренд и в UA... ни у extrime, force10, juniper, HP, такого на сайтах не нарыл, что весьма удивительно... в качестве железки на район нужно именно такое решение, или придется брать 2*24, но так не хочется... я к вашей сети не хочу подключаться :>

если в x900 доставить два модуля по 12SFP то получится 48

со spanning-tree portfast? А если порт в транке? spanning-tree portfast trunk

какая п'глесть только у меня всё кроме 800 и 806 убито. и это правильно.

во-первых обновить ПО до (44)SE6 во-вторых в сторону пользователей объявить ip pim passive

да? вот есть воипные шлюзики(именно шлюзики, а не шлюзы) с 40Мгц процессором, им от пинга плохо становится ;...(

мне вот интересно, от мелкопакетного мультикаста на все порты у какого количества сохового железа (кроме рекомендованного(с) корбиной(тм)) выносит мозг)

Спасибо. Думаю это не совсем то, т.к. необходимости vlan per user нет. У нас Vlan на группу абонентов. Грубо говоря - один комутатор доступа = один вилан. Схема не для домашней сети, а для офиса, где необходима секюрность. Да, забыл еще момент - необходима связка mac-ip в таком случае это всё делается на коммутаторах доступа.

допустим вот так: http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

а что ещё там сыско задвигает? что MVR на аггрегации делается? и что их МЕ умеет теггированный мембер порт? :)

ещё раз повторяюсь - зачем? неправильный мак с правильным IP(который только разрешён) придёт - и что спуфим в арпкеше шлюза(или другого компьютера) в таком случае? себе(хосту который атакует) связность рушим? если вам нужен практический пример то хост с ettercap не может перехватить трафик между двумя хостами если к порту приложено три правила PCF(Sender IP в ARP Reply), IP(против IP спуфинга) и Ethernet (рубящий всё остальное). проверял. не подделывает.

совершенно неэффективное решение. для полной защиты от арпспуфинга, достаточно разрешать в на порте правильный Sender IP внутри ARP Reply, никаких мак адресов не надо учитывать. это бред. пакет всё равно отбросится потому что Sender IP неправильный, зачем при этом в нём учитывать ещё и Sender MAC Address? a если клиент поставит мак адрес другого клиента или шлюза, ACL от мак флапа не спасёт, ибо MAC Learning действует отдельно от ACL. от этого может помочь auto_fdb(костыль придуманный для другого ;) ) а чтобы реализовать только защиту шлюза достаточно запретить в ARP Reply на всех портах одну цифру уникальную в Sender IP(шлюзы обычно заканчиваются на конкретную цифру .254 и .1 в общих случаях) и IP протокол так же. для этого достаточно два профиля и два правила PCF, и на 24 порта это ест 48 правил(в 3028). а arp_spoofing_prevention жрёт при этом бОльшую часть правил, при минимальной гибкости.

у меня один недалёкий конкурент сделал цены ниже московских, собирает гавённых юриков и нелояльных физиков с террами трафика. флаг им в руки :)

да кстати, Когент как там поживает?

Ну почитайте про архитектуру уже. Что ж как дети то. Каждая плата - реплика с RSP, L2 лукап на котором ограничен 4к виланами. Инстансов 16k можно написать, но без лукапа. А это уже не виланы, а псевдопровода. http://www.cisco.com/web/YU/events/expo_08...r_Vidakovic.pdf для ES/ES+ L2/L3 Lookup в дочерней карте.

А где же будет жить IP адрес? На другой коробке? А если ее нет? Не кажется ли Вам, что это лишние расходы? вапще есть карты с плюсиком, на них могут жить адреса. стоит 60к по жопель :)

Федеральный чиновник/советник 1го класса кажись

вообще это классическая болезнь(софтовая часть - ARP,IGMP, IGP и т.п.) любого дешёвого L3 свича, лечится долго, сложно и с матюгами(с вашей стороны) ;)

меня часто спрашивают какой у меня тариф стоит дома, я им честно отвечаю что гигабитный анлим на ноль рублей но люди не догоняют что я не маньяк-качер который вытягивает интернет на дискетку, а сами льют террами на своих младших анлимах и думают что я у них кусок хлеба отнимаю :) p.s. посмотрел сколько выливаю, что то около 14 гигов в месяц получилось, со всякими радиво сетевыми.

так всё таки, как сдать 300 точек коммерческого вайфая и не повесится? :)

пионеры атакуют.

ну видимо тему прочитали чиновники которые не срубили бабла на быстром оформлении/закрытии глаз на 300 коммерческих вайфай точек ;)