[EShirokiy]

Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги:

enable cpu
create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF
config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny

или

create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0
config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny
config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny

Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит

[Negator]

CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор.

В вашем варианте если нет DHCP Relay - правила не работают.

 

нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют.

[mcdemon]

3026 не умеет

увы, ничего не поделаете.

[pppoetest]

config filter dhcp гляньте, мож умеет.

[megahertz0]

А не проще использовать dhcp snooping?

[pppoetest]

В блинках это и есть снупинг, примерно так:

conf filter dhcp_server ports 1-24 enable

Изменено 26 декабря, 2013 пользователем pppoetest