EShirokiy Posted December 25, 2013 · Report post Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги: enable cpu create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny или create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит Share this post Link to post Share on other sites
Negator Posted December 25, 2013 · Report post CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор. В вашем варианте если нет DHCP Relay - правила не работают. нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют. Share this post Link to post Share on other sites
mcdemon Posted December 25, 2013 · Report post 3026 не умеет увы, ничего не поделаете. Share this post Link to post Share on other sites
pppoetest Posted December 26, 2013 · Report post config filter dhcp гляньте, мож умеет. Share this post Link to post Share on other sites
megahertz0 Posted December 26, 2013 · Report post А не проще использовать dhcp snooping? Share this post Link to post Share on other sites
pppoetest Posted December 26, 2013 (edited) · Report post В блинках это и есть снупинг, примерно так: conf filter dhcp_server ports 1-24 enable Edited December 26, 2013 by pppoetest Share this post Link to post Share on other sites
