EShirokiy Опубликовано 25 декабря, 2013 Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги: enable cpu create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny или create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 25 декабря, 2013 CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор. В вашем варианте если нет DHCP Relay - правила не работают. нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 25 декабря, 2013 3026 не умеет увы, ничего не поделаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 декабря, 2013 config filter dhcp гляньте, мож умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 26 декабря, 2013 А не проще использовать dhcp snooping? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 декабря, 2013 (изменено) В блинках это и есть снупинг, примерно так: conf filter dhcp_server ports 1-24 enable Изменено 26 декабря, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...