Перейти к содержимому
Калькуляторы

ACL на procurve 5300 Настройка ACL

Уважаемые Господа специалисты. У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты (. Помогите кто может. Буду очень благодарен. Надеюсь на пооддержку и взаимопонимание. За раннее огромное спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эту идею лучше сразу забыть. У 5300 прокурвы есть "небольшая засада" с ACL.

Если вы указываете TCP или UDP порты в ACL, свитчинг уходит на процессор и умирает на скоростях всего около сотни мегабит. Сам спотыкался, отрезая 135-139 порты, затем пуская всех железка убивалась до 100% CPU и потерь трафика на скоростях 100-150 мегабит. Долго и безрезультатно бодались с местным супортом, который был весьма слабенький, потом, через главного прокурвовского технаря удалось отправить запрос буржуям, откуда был получен такой ответ, что уходим на процесс свитчинг. Похоже, что иначе не умеет работать сам чип. Более того, буржуи крайне удивились, кому такая вот фигня может понадобиться?!

Изменено пользователем SergeiK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling.

 

У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты

Почитай книжечку Advanced Traffic Management Guide с сайта. Там в примерах есть. Но закрывать надо будет управляющее соединение. Кстати, ты его б/у чтоли купил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага причем за нормальную цену взял, вот теперь голова бо-бо ).

Всем спасибо ).

 

Тоесть грубо говоря если у меня управляющее соединение 192.168.1.2 и мне нужно его закрыть по 21 порту, то это будет звучать так:

deny tcp 192.168.1.2/32 eq 21 any eq 21

permit ip any any

exit

Правильно я понял, подскажите пожалуйста ).

 

 

Изменено пользователем Scripa4

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все все огромное спасибо, я разобрался ).

Оказывается немного не то писал ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling.

Нет, не старая. В 2006-2007 году разбирались, даже с Вами беседовали. Ответ был из Бельгии, совершенно точно не помню, но что-то вроде, что если в ACL сначало идут строки с TCP или UDP портами, а потом указаны целые сети/подсети, то обработка уходит на процессор. Если только IP - все хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег.

Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег.

Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-(

И я тоже :). И вряд ли я найду тот ответ сейчас, но поискать попробую. Я вам личкой писал выдержки, посмотрите, может остались. В 2007 году переписывались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.