Фильтрация MAC-адресов на downlink S2960

[alibek]

У меня на доступе используются коммутаторы SNR-S2960. Используется схема SVLAN (VLAN на сервис), соответственно на access-портах прописан одинаковый VLAN, а абоненты изолируются друг от друга с помощью isolate-port (изолируются все порты, кроме аплинка).

В некоторых местах я попробовал применять коммутаторы Mikrotik RB-260GS, подключаемые через гигабитный комбо-порт.

В принципе все работает нормально, но Mikrotik с аплинка получает MAC-адреса клиентов (т.к. абонентский VLAN общий); их много, а размер таблицы FIB на RB-260GS небольшой.

Можно ли на downlink-порты назначить egress ACL, чтобы он пропускал только те MAC-адреса, которые соответствуют маске (в маске будут указаны MAC-адреса коммутаторов и ядра)?

[BasilKlyev]

Вы на весь город(всю сеть) используете ОДИН влан на доступе ?

[s.lobanov]

Если у вас не кольца, то просто настройте изоляцию нормально(изолировать даунлинк как абонентский порт) и не будет тогда куча маков приходить

 

ну а вообще egress acl на lowcost свитчах типа snr2960 я не встречал, видимо lowcost asic-и такое не умеют

[alibek]

Колец нет, есть ветки (лучи) последовательно подключенных коммутаторов.

downlink на access-портах изолированы, однако на аплинке вижу MAC-адреса из вышестоящих коммутаторов.

Изоляция сделана так:

isolate-port group ACCESS switchport interface Ethernet1/1-24
isolate-port group TRUNK switchport interface Ethernet1/26-28

Это неправильно? Должна быть одна группа для портов 1-24,26-28?

[s.lobanov]

Должна быть одна группа для портов 1-24,26-28?

Да, если 25ый порт - аплинк