Jump to content
Калькуляторы

ACL DES-3026

Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги:

enable cpu
create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF
config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny

или

create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0
config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny
config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny

Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит

Share this post


Link to post
Share on other sites

CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор.

В вашем варианте если нет DHCP Relay - правила не работают.

 

нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют.

Share this post


Link to post
Share on other sites

3026 не умеет

увы, ничего не поделаете.

Share this post


Link to post
Share on other sites

В блинках это и есть снупинг, примерно так:

conf filter dhcp_server ports 1-24 enable

Edited by pppoetest

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this