rom Опубликовано 4 февраля, 2013 (изменено) · Жалоба Добрый день, господа специалисты. Подскажите чайнику следует ли блокировать правилами ACL на свичах Dlink широковещаетльный MAC FF:FF:FF:FF:FF:FF запросы (в целях предотвращения штормов). Не помешает ли его блокировка, если в сети DHCP. Вродек как DHCP сервера указаны конкретные. Поэтому необходимости в широковещательных запросах нет. Изменено 4 февраля, 2013 пользователем rom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 февраля, 2013 · Жалоба Нет. Да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rom Опубликовано 4 февраля, 2013 (изменено) · Жалоба Уточняю в сети используется DHCP Relay + Option 82. Клиенты подключены непосредственно в свитч на котором включено DHCP Relay, надо ли блокировать широковещательные маки (dst FF-FF-FF-FF-FF-FF). Изменено 4 февраля, 2013 пользователем rom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 февраля, 2013 · Жалоба проверь на стенде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 4 февраля, 2013 · Жалоба В широковещательные у вас и arp попадет. Блокируйте по сигнатуре DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 4 февраля, 2013 · Жалоба Зависит от модели свича. DHCP Relay в них работает по разному, например в DES-3526 оно работает _до_ механизма ACL и, соответственно, можно вообще заблокировать _весь_ трафик, т.е. как нить так: create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny и DHCP Relay все равно будет работать, а вот на DES-1228ME/DES-3028 DHCP Relay работает _после_ механизма ACL и, соответственно, если cделать ACL блокирующий все и вся, чтобы было как выше, то он должен выглядеть так: # тут разрешаем DHCP create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 68 dst_port 67 port 1-24 permit # после этого - все в сад! create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny иначе DHCP Relay не заработает. Таким образом просто заблокировать бродкасты через что-то в духе этого: create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 permit Вы, безусловно, можете, но ... Но как верно было замечено выше: - проверьте на стенде, т.е. попробуйте на _вашем_ железе; - блокируйте только DHCP, т.к. блокировка бродкаста запросто приведет к не работоспособности ARP и если он Вам нужен, то Вам придется, например, для IP адреса 192.168.0.1 (c0a80001) рисовать что-то похожее: DES-3028 create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 68 dst_port 67 port 1-24 permit create access_profile packet_content offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0 0xffffffff profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset 12 0x08060000 offset 16 0x08000000 offset 28 0xc0a80001 port 1 permit create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 3 config access_profile profile_id 3 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny create access_profile ip source_ip 255.255.255.255 profile_id 4 config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.0.1 port 1 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 5 config access_profile profile_id 5 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny DES-3526 create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 1 config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x0 0x0 offset_32-47 0xc0a80001 0x0 0x0 0x0 port 1 permit create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny create access_profile ip source_ip 255.255.255.255 profile_id 3 config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.0.1 port 1 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4 config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...