Jump to content
Калькуляторы

Защита против левых DHCP в 3250TG и 3026 Длинк

Доброго времени суток,

пните куда рыть для защиты против криворуких хомяков, которые любят приходящий кабель с интернетом воткнуть не в тот порт своего роутера.

Разобрался с 3200 серией, 1210-28 серией, эджкорами, а вот с DES -3026 и DES-3250TG не могу построить правила ACL

После того, как ввел вот это config access_profile profile_id 1 add access_id 1 ip udp src_port 67 тут нужно дописать всего лишь port 50 permit, но у меня просит выбрать

Command: config access_profile profile_id 1 add access_id 1 ip udp src_port 67

Next possible completions:
dst_port            vlan                source_ip           destination_ip
dscp                permit              deny

чет не могу вкурить как правильнее достроить правило.

 

На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также.

 

Command: config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1 deny

Duplicate CPU interface filtering access entry
Fail

Пробовал разные варианты, но ошибка повторяется

Подтолкните в правильном направлении пожалуйста, где упустил что?

Edited by Eremin

Share this post


Link to post
Share on other sites

Покритикуйте правила которые написал для 3250TG

 

#show access_profile
Command: show access_profile

Access Profile Table

Access Profile ID : 1
Type     : IP Frame Filter - UDP
Ports    : 50
Masks    : DSCP  Src.P
          ----- -----
                FFFF
ID  Mode
--- ------ ----- -----
1   Permit xx-xx 67

Access Profile ID : 2
Type     : IP Frame Filter - UDP
Ports    : 1-48
Masks    : DSCP  Src.P
          ----- -----
                FFFF
ID  Mode
--- ------ ----- -----
2   Deny   xx-xx 67

Total Entries : 2

Share this post


Link to post
Share on other sites
На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также.
config cpu access_profile

 

Правила CPU ACCESS Filtering обрабатывают ТОЛЬКО пакеты предназначенные самому коммутатору!

Коммутатор раздавать адреса не может, посему данным правилом сделать то что вам надо не получится.

Возможно 3026 серия не умеет обычный ACL.

 

А вообще в длинках в последних прошивках появилось filter dhcp server, который решает все одной командой.

Share this post


Link to post
Share on other sites

на счет скрининга и фильтра я в курсе, но это старички в которых даже при самой последней прошивке данная функция не появилась, ищу альтернативные пути защиты. В 3250ТГ вроде бы разобрался, а вот с 3026 - беда, видать там нечего подобного нету, ни фильтра, ни ацл

Share this post


Link to post
Share on other sites

На 3026 нет ACL.

 

попробуйте сделать следуюшее:

1. Настройте traffic_segmentation таким образом, чтобы все порты в нем видели только аплинк порт.

config traffic_segmentation 1-24 forward_list 25

 

2. На вышестоящем коммутаторе уже настройте ACL.

Таким образом между портами коммутатора абоненты не будут видеть соседей, а все что пойдет в аплинк вы зарежете на вышестоящем коммутаторе.

Share this post


Link to post
Share on other sites

вариант, благодарю за подсказку

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this