Элтекс

Доброго всем дня. У меня возникла проблема. Один из портов моего свича MES3324F с прошивкой 4016-R2 подключен к порту узла обмена трафиком через 10G. И там у них жесткие требования при подключении, разрешается обмен только фреймами типов 0x0800 0x0806, то есть только IPv4 и ARP, больше ничего лишнего из моего порта не должно в их сторону вылетать, ни локального производства на данном свиче, ни транзитного, прилетевшего из сети по другим портам. А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён. Кроме того там ещё летает несколько типов L2 пакетов, например LLDP . Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ? Конечно идеально, если бы для этого была предусмотрена одна команда управления портом, но если таковой нет, то скажите последовательность команд, которые дадут требуемый эффект на 100% . Спасибо за помощь.

Добрый день.

А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён.

Про какую команду речь? no spanning-tree?
Тогда глобально нужно ещё прописать spa bpdu filtering, чтобы фильтровать stp bpdu

Кроме того там ещё летает несколько типов L2 пакетов, например LLDP

.
На порту нужно настроить
no lldp receive
no ll transmite

Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?

mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test

Евгений Т писал(а):Добрый день.

Добрый день.

А они говорят, что прямо сразу на вскидку видят прилетающие из моего порта пакеты протокола STP, хотя параметр глобального запрета no spanning-tree на моём свиче включён.

Про какую команду речь? no spanning-tree?

Да, речь о ней, не помогает до конца, что-то всё равно пролетает.

Тогда глобально нужно ещё прописать spa bpdu filtering, чтобы фильтровать stp bpdu

Можно пример конретных команд для глобального запрета пакетов всех версий STP на всех портах свича? Не использую STP и не собираюсь, только мешает. Или если невозможно глобально запретить, то как конкретно это сделать поинтерфейсно? Какими командами?

Кроме того там ещё летает несколько типов L2 пакетов, например LLDP.

На порту нужно настроить
no lldp receive
no ll transmite

То же самое, глобально можно запретить или только поинтерфейсно? Не использую LLDP.

Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?

mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test

Вот, это кардинальное решение, спасибо. Но вдогонку тогда ещё вопрос. Эта фильтрация выполняется чипом коммутатора или процессором? Хватит быстродействия системы для работы на 10G портах? Не будет ли ограничения скорости на порту, перегрузки CPU ?
Я использую в работе ваши свичи MES2324FB и MES3324F с последней прошивкой mes3300-4016-R2.ros , если это важно.

Ещё раз спасибо за помощь и быстрый исчерпывающий ответ!

Можно пример конретных команд для глобального запрета пакетов всех версий STP на всех портах свича? Не использую STP и не собираюсь, только мешает. Или если невозможно глобально запретить, то как конкретно это сделать поинтерфейсно? Какими командами?

Команду приводил в предыдущем комментарии
spa bpdu filtering

То же самое, глобально можно запретить или только поинтерфейсно? Не использую LLDP.

no ll run

Вот, это кардинальное решение, спасибо. Но вдогонку тогда ещё вопрос. Эта фильтрация выполняется чипом коммутатора или процессором? Хватит быстродействия системы для работы на 10G портах? Не будет ли ограничения скорости на порту, перегрузки CPU ?

acl работает аппаратно. На CPU пакеты не перехватываются. Утилизация интерфейса не просядет.

Я использую в работе ваши свичи MES2324FB и MES3324F с последней прошивкой mes3300-4016-R2.ros , если это важно.

От версии ПО не зависит.

Большое спасибо за прекрасный сервис! Ночью буду пробовать всё это внедрить.

Здравсствуйте.

Вот и вопрос, как достичь поставленной задачи? Запретить вылет с порта всего, кроме IPv4 и ARP ?

mac access-list ext test
permit any any 8000 0000
permit any any 806 0000
deny any any
!
int gi0/xxx
service-acl output test

Ой, добавилось у меня седых волос .
Наверное описка? Не 8000, а 800 ?

Здравствуйте.
Да, опечатался.
С таким вариантом заработало?