DVM-Avgoor Опубликовано 24 ноября, 2014 · Жалоба А кто что думает про ip unnumbered? А что о нем думать? Он не имеет смысла в схемах "влан-на-что-то-крупнее-юзера". А в vlan-per-user успешно применяется уже годами. фильтр левых dhcp серверов настроен, там всякие порт секуьюрити тоже Раньше, во времена DES-3526/3550 можно было делать фильтры по содержимому пакета. Благодаря этому удавалось всего 2-мя правилами (ARP,IP) ограничить всю левую активность от клиента. Но... 1) это привязка к одному вендору, а это плохо 2) 3526 уже не выпускают, а другие свитчи даже других вендоров этого не умеют. Таким образом я еще пол-темы назад предложил вам самый логичный и "правильный" вариант, в текущем положении дел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 24 ноября, 2014 · Жалоба Всякие левые dhcp прекрасно фильтруются на des-3200a1/c1. ip unnumbered интересно конечно, только как поведет себя 3750g. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 24 ноября, 2014 · Жалоба а другие свитчи даже других вендоров этого не умеют. Что что простите? Почти все умеют. Да и минимально 67 UDP заблокировать тоже все коммутаторы смогут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 24 ноября, 2014 · Жалоба ip unnumbered интересно конечно, только как поведет себя 3750g. а как он себя ещё может повести, кроме как ему пофигу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 ноября, 2014 · Жалоба Что что простите? Почти все умеют. Да и минимально 67 UDP заблокировать тоже все коммутаторы смогут. http://www.dlink.ru/ru/faq/62/954.html Я думаю разницу между таким типом правил/профилей и всякими ip source guard, arp guard сами знаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 24 ноября, 2014 · Жалоба С каких это пор, в длинках исчез пцф? Новенькие des3200-хх "с" ревизии Command: create access_profile profile_id Next possible completions: profile_name ethernet ip packet_content_mask ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 ноября, 2014 · Жалоба С каких это пор, в длинках исчез пцф? Новенькие des3200-хх "с" ревизии Я не говорил что они это не умеют, просто делают это иначе. Проверять мне сейчас некогда, но 3526 умел очень широкие маски, что давало возможность матчить ARP пакеты целиком с содержимым. 3028 так уже не мог, что повлекло изменение мировоззрения в те времена, и вылилось в новую архитектуру сети для меня. 3200 не знаю не проверял. Свитчи других вендоров не позволяют этого вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 ноября, 2014 · Жалоба Свитчи других вендоров не позволяют этого вообще у huawei это user acl, у DCN (и свитчей с другой наклейкой но с DCN внутри) тоже есть acl по внутренностям пакета Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 25 ноября, 2014 · Жалоба у huawei это user acl, у DCN (и свитчей с другой наклейкой но с DCN внутри) тоже есть acl по внутренностям пакета Хуавей на доступе не встречал, а DCN было паченька, не подскажете команду для такого acl? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...