Для гендерных исследований

Дяденьки, здрасте. У меня вопрос касательно бест-практисов. Если кто помнит, я тот у кого все вланы терминируются на микроте (1072), и я жаловался на медленную скорость при интер-влан роутинге.

Что сделал - перекинул гейтвеи для серверного сегмента на L3-коммутатор, в принципе iperf-ом выдавливаю нужные 20Г в многопоточном режиме (10+10), меня устраивает.

Вопрос в следующем: вот задача запретить хосту А, который находится в одной из подсетей, шлюз которой заведен на коммутаторе, ходить к хосту Б, который находится в другой подсети, и шлюз так же на коммутаторе заведен. т.е. маршрутизацией будет заниматься именно свитч.
Как реализовать? ACL по ip на коммутаторе? это правильная практика?

acl на коммутаторе плохая практика

уж лучше на хосте фаервол подкрутить

Кто-нибудь делал stateless nat  на линупсе? Чем делали?

понял принял.
а как тогда по сети ограничивать трафик?
если даже все вланы будут терминироваться на условном коммутаторе ядра, какая-нибудь многоюнитовая железяка.

svi в разных vrf

маршруты на фаервол

no wai

слыш

фаер на терабит купил уже?

какой тебе терабит

2х100г жует нормально

у меня значительно больше

ну разбалансируй на разные

собери аа кластер

с флоу директором

че как маленький

потом нужно рдма и приехали