В общем есть проблема.
У разработчиков в нашей организации стоит в тесте проект который общается внутри сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины 192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи (всего три машины - сервер и два клиента) - 192.168.0.0.

Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся в одной комнате и соответственно к каталисту приходят на один порт. Допустим FastEthernet0/17.

Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его на 10.4.253.0

Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой реакции. пакеты все равно флудят сеть.

Как мне быть? желательно с примером.
Пока мысли такие что надо организовать влан из 0/17 и что то на нем сделать. Но как это делается не знаю.. С вланами на каталистах не работал еще.
В общем надеюсь на общественность.

• Проблема подавления broadcast от одной станции на всю сеть.,fantom, 13:07 , 27-Апр-06
  • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 17:28 , 27-Апр-06
    • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 18:05 , 27-Апр-06
    • Проблема подавления broadcast от одной станции на всю сеть.,fantom, 18:23 , 27-Апр-06
      • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 14:20 , 28-Апр-06
        • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 14:49 , 28-Апр-06
          • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 17:12 , 28-Апр-06
            • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 17:29 , 28-Апр-06
              • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 17:35 , 28-Апр-06
                • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 09:57 , 02-Май-06
                  • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 10:22 , 03-Май-06
                    • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 10:47 , 03-Май-06
            • Проблема подавления broadcast от одной станции на всю сеть.,nikl, 17:29 , 28-Апр-06
              • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 17:32 , 28-Апр-06
• Проблема подавления broadcast от одной станции на всю сеть.,vorch, 13:17 , 03-Май-06
  • Проблема подавления broadcast от одной станции на всю сеть.,Nailer, 13:25 , 03-Май-06
    • Проблема подавления broadcast от одной станции на всю сеть.,vorch, 10:22 , 04-Май-06
  • Проблема подавления broadcast от одной станции на всю сеть.,_RAW_, 10:03 , 04-Май-06

>В общем есть проблема.
>У разработчиков в нашей организации стоит в тесте проект который общается внутри
>сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины
>192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи
>(всего три машины - сервер и два клиента) - 192.168.0.0.
>
>Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся
>в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся
>в одной комнате и соответственно к каталисту приходят на один порт.
>Допустим FastEthernet0/17.
>
>Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его
>на 10.4.253.0
>
>Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время
>порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте
>прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой
>реакции. пакеты все равно флудят сеть.
>
>Как мне быть? желательно с примером.
>Пока мысли такие что надо организовать влан из 0/17 и что то
>на нем сделать. Но как это делается не знаю.. С вланами
>на каталистах не работал еще.
>В общем надеюсь на общественность.

Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ компов предприятия, то можно просто выдернуть шнурок из 17-го порта :)

если на этом порту ЕСТЬ компы из сети предприятия - разбивка на VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов непоймут.

Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950
неумеет маршрутизировать трафик между VLAN-ами.

>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ
>компов предприятия, то можно просто выдернуть шнурок из 17-го порта :)

К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне.

>если на этом порту ЕСТЬ компы из сети предприятия - разбивка на
>VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов
>непоймут.
>Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950
> неумеет маршрутизировать трафик между VLAN-ами.

Да, там трикомы неуправляемые дальше по сегменту...
В принципе у меня 2620 лежит один пылится но там только один езернет, второй bri... так что в любом случае вланы бы не построил за отсутствием подходящего маршрутизатора...

В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый.

>>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ
>>компов предприятия, то можно просто выдернуть шнурок из 17-го порта :)
>
>К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне.
>
>>если на этом порту ЕСТЬ компы из сети предприятия - разбивка на
>>VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов
>>непоймут.
>>Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950
>> неумеет маршрутизировать трафик между VLAN-ами.
>
>Да, там трикомы неуправляемые дальше по сегменту...
>В принципе у меня 2620 лежит один пылится но там только один
>езернет, второй bri... так что в любом случае вланы бы не
>построил за отсутствием подходящего маршрутизатора...
>
>В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый.

На 2620, если оно XM, можно поднять транк и сделать рутинг.

>>Если на 17-м порту каталиста ТОЛЬКО сеть для тестирования, и там НЕТ
>>компов предприятия, то можно просто выдернуть шнурок из 17-го порта :)
>
>К сожалению сегмент целый предприятия. Обе сетки на одном физическом уровне.
>
>>если на этом порту ЕСТЬ компы из сети предприятия - разбивка на
>>VLAN тебе не поможет, т.к. дальше - свичи неуправляемые, они VLAN-ов
>>непоймут.
>>Кроме того для связи МЕЖДУ разными VLAN потребуется маршрутизатор, т.к. cat2950
>> неумеет маршрутизировать трафик между VLAN-ами.
>
>Да, там трикомы неуправляемые дальше по сегменту...
>В принципе у меня 2620 лежит один пылится но там только один
>езернет, второй bri... так что в любом случае вланы бы не
>построил за отсутствием подходящего маршрутизатора...
>
>В общем засада. видимо придется терпеть по сетке флуд этот броадкастовый.

Хватит и одного эзера,
Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет, если больше - скорее всего непотянет.

Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть.

>Хватит и одного эзера,
>Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет,
>если больше - скорее всего непотянет.
>
>Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть.

Там разработчики на том сегменте. штампуют к моему серверу SQL запросы постоянные. Трафик на уровне 50 мегабит в секунду. и сессий куча. Имхо 2620 не справится. помощнее нужно что то.

>>Хватит и одного эзера,
>>Если трафик на этом 17 порту не более  5-7Мбит, то 2620потянет,
>>если больше - скорее всего непотянет.
>>
>>Кроме того сегмент за 17 портом придется в отдельную подсеть запихнуть.
>
>Там разработчики на том сегменте. штампуют к моему серверу SQL запросы постоянные.
>Трафик на уровне 50 мегабит в секунду. и сессий куча. Имхо
>2620 не справится. помощнее нужно что то.

Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-)

Конфиг покажите, с акцесс-листом..

>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-)
>
>
>Конфиг покажите, с акцесс-листом..

Там сейчас чисто в аксесслистах.

пробовал создать одно правило всего...
access-list 101 deny udp host 192.168.0.101 10.4.253.0

в общем то этим и ограничивался

по хорошему надо аксесслист запрещающий пулу 192.168.0.0 общаться по удп с сетью 10.4.253.0

ну или закрыть на 10.4.253.0 обращения по порту 21845... софтина работает по этому порту.

>>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-)
>>
>>
>>Конфиг покажите, с акцесс-листом..
>
>
>Там сейчас чисто в аксесслистах.
>
>пробовал создать одно правило всего...
>access-list 101 deny udp host 192.168.0.101 10.4.253.0
>
>в общем то этим и ограничивался
>
>по хорошему надо аксесслист запрещающий пулу 192.168.0.0 общаться по удп с сетью
>10.4.253.0
>
>ну или закрыть на 10.4.253.0 обращения по порту 21845... софтина работает по
>этому порту.

А вешать на порт вешали? :-) Или просто акцесс-лист создали?

>А вешать на порт вешали? :-) Или просто акцесс-лист создали?

не вешал... как? %)

>>А вешать на порт вешали? :-) Или просто акцесс-лист создали?
>
>не вешал... как? %)

int fa0/1
ip access-group 1 in
exit

>int fa0/1
>ip access-group 1 in
>exit

я так понимаю номер access-group должен совпадать с номером access-list?

>>int fa0/1
>>ip access-group 1 in
>>exit
>
>я так понимаю номер access-group должен совпадать с номером access-list?

да

>>Тогда нужен либо хороший Layer-3 свитч, либо все-таки нормально написать access-лист :-)
>>
>>
>>Конфиг покажите, с акцесс-листом..
>
>
>Там сейчас чисто в аксесслистах.
>
>пробовал создать одно правило всего...
>access-list 101 deny udp host 192.168.0.101 10.4.253.0
а потом же стоит неявное
access-list 101 deny any any

>а потом же стоит неявное
>access-list 101 deny any any

не, это вытер перед тем как программить.
show access-lists показывает пустоту.
или правило что я забиваю.

>В общем есть проблема.
>У разработчиков в нашей организации стоит в тесте проект который общается внутри
>сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины
>192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи
>(всего три машины - сервер и два клиента) - 192.168.0.0.
>
>Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся
>в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся
>в одной комнате и соответственно к каталисту приходят на один порт.
>Допустим FastEthernet0/17.
>
>Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его
>на 10.4.253.0
>
>Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время
>порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте
>прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой
>реакции. пакеты все равно флудят сеть.
>
>Как мне быть? желательно с примером.
>Пока мысли такие что надо организовать влан из 0/17 и что то
>на нем сделать. Но как это делается не знаю.. С вланами
>на каталистах не работал еще.
>В общем надеюсь на общественность.

Не будет вам счастья с 2950 :( Нужный вам ACL можно создать только на устройствах L3, а 2950 - чистый L2, на нем ACL вешается только на управляющий интерфейс. А вот если бы у вас был L3, тот же 2620, то ACL был бы приблизительно таким
access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845
access-list 101 permit ip any any
А потом
int <нужный подинтерфейс>
ip access-group 101 in

>>В общем есть проблема.
>>У разработчиков в нашей организации стоит в тесте проект который общается внутри
>>сети посредством broadcast сообщений на порт 21845. Броадкасты идут с машины
>>192.168.0.101 Сеть предприятия - 10.4.253.0. Сеть тестовых машин для этой задачи
>>(всего три машины - сервер и два клиента) - 192.168.0.0.
>>
>>Все включены в одну физическую сеть посредством неуправляемых свичей. Все свичи сходятся
>>в коммутатор 2950. Версия каталиста - C2950G-24-EI. Все три компьютера находятся
>>в одной комнате и соответственно к каталисту приходят на один порт.
>>Допустим FastEthernet0/17.
>>
>>Задача: ограничить броадкаст посредством каталиста только на сеть 192.168.0.0, и запретить его
>>на 10.4.253.0
>>
>>Пробовал на 0/17 включать подавление броадкаста. Так он отрубает через некоторое время
>>порт и сегмент выпадает из сети... Пробовал на аксесслистах в каталисте
>>прописать следующее: access-list 101 deny udp host 192.168.0.101 10.4.253.0 - никакой
>>реакции. пакеты все равно флудят сеть.
>>
>>Как мне быть? желательно с примером.
>>Пока мысли такие что надо организовать влан из 0/17 и что то
>>на нем сделать. Но как это делается не знаю.. С вланами
>>на каталистах не работал еще.
>>В общем надеюсь на общественность.
>
>
>Не будет вам счастья с 2950 :( Нужный вам ACL можно создать
>только на устройствах L3, а 2950 - чистый L2, на нем
>ACL вешается только на управляющий интерфейс. А вот если бы у
>вас был L3, тот же 2620, то ACL был бы приблизительно
>таким
>access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845
>access-list 101 permit ip any any
>А потом
>int <нужный подинтерфейс>
>ip access-group 101 in

Акцесс-листы есть на 2950-EMI. На 2950-SMI все как вы сказали.

http://www.cisco.com/en/US/products/hw/switches/ps628/produc...

>
>Акцесс-листы есть на 2950-EMI. На 2950-SMI все как вы сказали.
>
>http://www.cisco.com/en/US/products/hw/switches/ps628/produc...

Да, прошу прощения, не заметил, что в постановке задачи фигурирует C2950G-24-EI
Тогда все просто

access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845
access-list 101 permit ip any any

int fa0/17
ip access-group 101 in

>Не будет вам счастья с 2950 :( Нужный вам ACL можно создать
>только на устройствах L3, а 2950 - чистый L2, на нем
>ACL вешается только на управляющий интерфейс. А вот если бы у
>вас был L3, тот же 2620, то ACL был бы приблизительно
>таким
>access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 21845
>access-list 101 permit ip any any
>А потом
>int <нужный подинтерфейс>
>ip access-group 101 in

У меня EI каталист... вродь нормально вешаются листы на интерфейсы. Проверил...

Только вот прописал ща правила как вы сказали (110 их обозначил от греха подальше):
access-list 110 deny udp 192.168.0.0 0.0.0.255 any eq 21845
access-list 110 permit ip any any

повесил их на 17 интерфейс - куда кабелюка приходит от того сектора где флудит машина 192.168.0.101

interf fa 0/17
ip access-group 110 in

зашил в память всё... проверил конфиг. листы есть, интерфейс говорит что привязан к группе правил 110.
но броадкасты смотрю продолжаются. странненько.