Jump to content
Калькуляторы

MAC FF:FF:FF:FF:FF:FF

Добрый день, господа специалисты. Подскажите чайнику следует ли блокировать правилами ACL на свичах Dlink широковещаетльный MAC FF:FF:FF:FF:FF:FF запросы (в целях предотвращения штормов). Не помешает ли его блокировка, если в сети DHCP. Вродек как DHCP сервера указаны конкретные. Поэтому необходимости в широковещательных запросах нет.

Edited by rom

Share this post


Link to post
Share on other sites

Уточняю в сети используется DHCP Relay + Option 82. Клиенты подключены непосредственно в свитч на котором включено DHCP Relay, надо ли блокировать широковещательные маки (dst FF-FF-FF-FF-FF-FF).

Edited by rom

Share this post


Link to post
Share on other sites

В широковещательные у вас и arp попадет. Блокируйте по сигнатуре DHCP.

Share this post


Link to post
Share on other sites

Зависит от модели свича. DHCP Relay в них работает по разному, например в DES-3526 оно работает _до_ механизма ACL и, соответственно, можно вообще заблокировать _весь_ трафик, т.е. как нить так:

 

create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

и DHCP Relay все равно будет работать, а вот на DES-1228ME/DES-3028 DHCP Relay работает _после_ механизма ACL и, соответственно, если cделать ACL блокирующий все и вся, чтобы было как выше, то он должен выглядеть так:

 

# тут разрешаем DHCP
create access_profile                              ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port        68   dst_port        67   port 1-24 permit

# после этого - все в сад!
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

иначе DHCP Relay не заработает.

 

Таким образом просто заблокировать бродкасты через что-то в духе этого:

 

create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 permit

 

Вы, безусловно, можете, но ... Но как верно было замечено выше:

- проверьте на стенде, т.е. попробуйте на _вашем_ железе;

- блокируйте только DHCP, т.к. блокировка бродкаста запросто приведет к не работоспособности ARP и если он Вам нужен, то Вам придется, например, для IP адреса 192.168.0.1 (c0a80001) рисовать что-то похожее:

 

  • DES-3028
    create access_profile                              ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1
    config access_profile profile_id 1 add access_id 1 ip udp src_port        68   dst_port        67   port 1-24 permit
    
    create access_profile                              packet_content offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 2
    config access_profile profile_id 2 add access_id 1 packet_content offset 12               0x08060000 offset 16    0x08000000 offset 28 0xc0a80001 port 1 permit
    
    create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 3
    config access_profile profile_id 3 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
    
    create access_profile                              ip source_ip 255.255.255.255 profile_id 4
    config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.0.1     port 1 permit
    
    create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 5
    config access_profile profile_id 5 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
    


  • DES-3526
    create access_profile                              packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 1
    config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x8060000  0x0 0x0 0x0 offset_32-47 0xc0a80001 0x0 0x0 0x0 port 1 permit
    
    create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
    config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
    
    create access_profile                              ip source_ip 255.255.255.255 profile_id 3
    config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.0.1     port 1 permit
    
    create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 4
    config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
    


Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this