Jump to content

ACL на procurve 5300

Scripa4
 Share

Recommended Posts

Scripa4

Scripa4

Posted
Posted

Уважаемые Господа специалисты. У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты (. Помогите кто может. Буду очень благодарен. Надеюсь на пооддержку и взаимопонимание. За раннее огромное спасибо.

SergeiK

SergeiK

Posted
Posted (edited)

Эту идею лучше сразу забыть. У 5300 прокурвы есть "небольшая засада" с ACL.

Если вы указываете TCP или UDP порты в ACL, свитчинг уходит на процессор и умирает на скоростях всего около сотни мегабит. Сам спотыкался, отрезая 135-139 порты, затем пуская всех железка убивалась до 100% CPU и потерь трафика на скоростях 100-150 мегабит. Долго и безрезультатно бодались с местным супортом, который был весьма слабенький, потом, через главного прокурвовского технаря удалось отправить запрос буржуям, откуда был получен такой ответ, что уходим на процесс свитчинг. Похоже, что иначе не умеет работать сам чип. Более того, буржуи крайне удивились, кому такая вот фигня может понадобиться?!

Edited by SergeiK
vIv

vIv

Posted
Posted

Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling.

 

У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты

Почитай книжечку Advanced Traffic Management Guide с сайта. Там в примерах есть. Но закрывать надо будет управляющее соединение. Кстати, ты его б/у чтоли купил?

Scripa4

Scripa4

Posted
  • Author
Posted (edited)

Ага причем за нормальную цену взял, вот теперь голова бо-бо ).

Всем спасибо ).

 

Тоесть грубо говоря если у меня управляющее соединение 192.168.1.2 и мне нужно его закрыть по 21 порту, то это будет звучать так:

deny tcp 192.168.1.2/32 eq 21 any eq 21

permit ip any any

exit

Правильно я понял, подскажите пожалуйста ).

 

 

Edited by Scripa4
SergeiK

SergeiK

Posted
Posted
Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling.

Нет, не старая. В 2006-2007 году разбирались, даже с Вами беседовали. Ответ был из Бельгии, совершенно точно не помню, но что-то вроде, что если в ACL сначало идут строки с TCP или UDP портами, а потом указаны целые сети/подсети, то обработка уходит на процессор. Если только IP - все хорошо.

vIv

vIv

Posted
Posted

т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег.

Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-(

SergeiK

SergeiK

Posted
Posted
т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег.

Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-(

И я тоже :). И вряд ли я найду тот ответ сейчас, но поискать попробую. Я вам личкой писал выдержки, посмотрите, может остались. В 2007 году переписывались.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.