EShirokiy Опубликовано 25 декабря, 2013 · Жалоба Приветствую, задача заблочить левые DHCP на свитче через ACL пишу конфиги: enable cpu create cpu access_profile profile_id 1 ip udp src_port_mask 0xFFFF config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny config cpu access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24 deny или create cpu access_profile profile_id 2 packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 config cpu access_profile profile_id 2 add access_id 1 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 1-24 deny config cpu access_profile profile_id 2 add access_id 2 packet_content offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x440000 0x0 port 1-24 deny Или все вместе, правила не работают, что я делаю не так? Использую для тестов роутер WR741ND, DHCP ходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 25 декабря, 2013 · Жалоба CPU access profile работают только доя пакетов отпавленных на сам коммутатор, на его интерфейс. Это правило не режет все пакеты,а только те, которые отправлены на коммутатор. В вашем варианте если нет DHCP Relay - правила не работают. нужно использовать ACL а не CPU ACL. Не факт что ваши коммутаторы это умеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 25 декабря, 2013 · Жалоба 3026 не умеет увы, ничего не поделаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 декабря, 2013 · Жалоба config filter dhcp гляньте, мож умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 26 декабря, 2013 · Жалоба А не проще использовать dhcp snooping? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 декабря, 2013 (изменено) · Жалоба В блинках это и есть снупинг, примерно так: conf filter dhcp_server ports 1-24 enable Изменено 26 декабря, 2013 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...