EShirokiy Posted December 25, 2013 Posted December 25, 2013 Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги: enable cpu create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny или create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит Вставить ник Quote
Negator Posted December 25, 2013 Posted December 25, 2013 CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор. В вашем варианте если нет DHCP Relay - правила не работают. нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют. Вставить ник Quote
mcdemon Posted December 25, 2013 Posted December 25, 2013 3026 не умеет увы, ничего не поделаете. Вставить ник Quote
pppoetest Posted December 26, 2013 Posted December 26, 2013 config filter dhcp гляньте, мож умеет. Вставить ник Quote
megahertz0 Posted December 26, 2013 Posted December 26, 2013 А не проще использовать dhcp snooping? Вставить ник Quote
pppoetest Posted December 26, 2013 Posted December 26, 2013 (edited) В блинках это и есть снупинг, примерно так: conf filter dhcp_server ports 1-24 enable Edited December 26, 2013 by pppoetest Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.