Scripa4 Опубликовано 24 марта, 2009 · Жалоба Уважаемые Господа специалисты. У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты (. Помогите кто может. Буду очень благодарен. Надеюсь на пооддержку и взаимопонимание. За раннее огромное спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 24 марта, 2009 (изменено) · Жалоба Эту идею лучше сразу забыть. У 5300 прокурвы есть "небольшая засада" с ACL. Если вы указываете TCP или UDP порты в ACL, свитчинг уходит на процессор и умирает на скоростях всего около сотни мегабит. Сам спотыкался, отрезая 135-139 порты, затем пуская всех железка убивалась до 100% CPU и потерь трафика на скоростях 100-150 мегабит. Долго и безрезультатно бодались с местным супортом, который был весьма слабенький, потом, через главного прокурвовского технаря удалось отправить запрос буржуям, откуда был получен такой ответ, что уходим на процесс свитчинг. Похоже, что иначе не умеет работать сам чип. Более того, буржуи крайне удивились, кому такая вот фигня может понадобиться?! Изменено 24 марта, 2009 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 марта, 2009 · Жалоба Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling. У меня возникла небольшая проблема, суть проблемы в том, что я приобрел Procurve 5300 и мне нужно на этом самом 5300 запретить некоторым товарищам доступ к фтп и позакрывать некоторые существующие фтп сервера. Но как я ни старался ну не получается у меня закрыть фтп - шные порты Почитай книжечку Advanced Traffic Management Guide с сайта. Там в примерах есть. Но закрывать надо будет управляющее соединение. Кстати, ты его б/у чтоли купил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scripa4 Опубликовано 25 марта, 2009 (изменено) · Жалоба Ага причем за нормальную цену взял, вот теперь голова бо-бо ). Всем спасибо ). Тоесть грубо говоря если у меня управляющее соединение 192.168.1.2 и мне нужно его закрыть по 21 порту, то это будет звучать так: deny tcp 192.168.1.2/32 eq 21 any eq 21 permit ip any any exit Правильно я понял, подскажите пожалуйста ). Изменено 25 марта, 2009 пользователем Scripa4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Scripa4 Опубликовано 25 марта, 2009 · Жалоба Все все огромное спасибо, я разобрался ). Оказывается немного не то писал ). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 25 марта, 2009 · Жалоба Это у вас какая-то очень старая информация, из прошлого века, мне кажется. У нас в 2003-2005-м были тесты, кажется, не помню, на 300 ACEs - нагрузка на проц под гигабитом флуда не выбиралась больше 3%. Точнее, она была 1.5% в состоянии покоя и под флудом от ста ACEs вышла на 3-3.5% и больше не поднималась, на третьей сотне стало неинтересно, ситуация не менялась. ACL отрабатываются на ASIC. В проц идут только изменения таблицы коммутации. Ими убить реально, если не включен Virus Throttling. Нет, не старая. В 2006-2007 году разбирались, даже с Вами беседовали. Ответ был из Бельгии, совершенно точно не помню, но что-то вроде, что если в ACL сначало идут строки с TCP или UDP портами, а потом указаны целые сети/подсети, то обработка уходит на процессор. Если только IP - все хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 25 марта, 2009 · Жалоба т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег. Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 марта, 2009 · Жалоба т.е. речь про extended IP ACL... жаль, не могу проверить теперь. Но попытаюсь спросить коллег.Если не сложно, и если это вам важно, не потрудитьесь ли открыть сейчас сервис тикет по этому вопросу и сюда ответ оттранслировать? К сожалению, я уже не партнёр ProCurve ... :-( И я тоже :). И вряд ли я найду тот ответ сейчас, но поискать попробую. Я вам личкой писал выдержки, посмотрите, может остались. В 2007 году переписывались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...