[rom]

Добрый день, господа специалисты. Подскажите чайнику следует ли блокировать правилами ACL на свичах Dlink широковещаетльный MAC FF:FF:FF:FF:FF:FF запросы (в целях предотвращения штормов). Не помешает ли его блокировка, если в сети DHCP. Вродек как DHCP сервера указаны конкретные. Поэтому необходимости в широковещательных запросах нет.

Изменено 4 февраля, 2013 пользователем rom

[Ivan_83]

Нет.

Да.

[rom]

Уточняю в сети используется DHCP Relay + Option 82. Клиенты подключены непосредственно в свитч на котором включено DHCP Relay, надо ли блокировать широковещательные маки (dst FF-FF-FF-FF-FF-FF).

Изменено 4 февраля, 2013 пользователем rom

[zhenya`]

проверь на стенде.

[adnull]

В широковещательные у вас и arp попадет. Блокируйте по сигнатуре DHCP.

[snark]

Зависит от модели свича. DHCP Relay в них работает по разному, например в DES-3526 оно работает _до_ механизма ACL и, соответственно, можно вообще заблокировать _весь_ трафик, т.е. как нить так:

 

create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

и DHCP Relay все равно будет работать, а вот на DES-1228ME/DES-3028 DHCP Relay работает _после_ механизма ACL и, соответственно, если cделать ACL блокирующий все и вся, чтобы было как выше, то он должен выглядеть так:

 

# тут разрешаем DHCP
create access_profile                              ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port        68   dst_port        67   port 1-24 permit

# после этого - все в сад!
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

иначе DHCP Relay не заработает.

 

Таким образом просто заблокировать бродкасты через что-то в духе этого:

 

create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 permit

 

Вы, безусловно, можете, но ... Но как верно было замечено выше:

- проверьте на стенде, т.е. попробуйте на _вашем_ железе;

- блокируйте только DHCP, т.к. блокировка бродкаста запросто приведет к не работоспособности ARP и если он Вам нужен, то Вам придется, например, для IP адреса 192.168.0.1 (c0a80001) рисовать что-то похожее:

 

• DES-3028
  

  create access_profile                              ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 1
  config access_profile profile_id 1 add access_id 1 ip udp src_port        68   dst_port        67   port 1-24 permit
  
  create access_profile                              packet_content offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 2
  config access_profile profile_id 2 add access_id 1 packet_content offset 12               0x08060000 offset 16    0x08000000 offset 28 0xc0a80001 port 1 permit
  
  create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 3
  config access_profile profile_id 3 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
  
  create access_profile                              ip source_ip 255.255.255.255 profile_id 4
  config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.0.1     port 1 permit
  
  create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 5
  config access_profile profile_id 5 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
  

  
  

• DES-3526
  

  create access_profile                              packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 1
  config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x8060000  0x0 0x0 0x0 offset_32-47 0xc0a80001 0x0 0x0 0x0 port 1 permit
  
  create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
  config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
  
  create access_profile                              ip source_ip 255.255.255.255 profile_id 3
  config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.0.1     port 1 permit
  
  create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 4
  config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny