Перейти к содержимому
Калькуляторы

Защита против левых DHCP в 3250TG и 3026 Длинк

Доброго времени суток,

пните куда рыть для защиты против криворуких хомяков, которые любят приходящий кабель с интернетом воткнуть не в тот порт своего роутера.

Разобрался с 3200 серией, 1210-28 серией, эджкорами, а вот с DES -3026 и DES-3250TG не могу построить правила ACL

После того, как ввел вот это config access_profile profile_id 1 add access_id 1 ip udp src_port 67 тут нужно дописать всего лишь port 50 permit, но у меня просит выбрать

Command: config access_profile profile_id 1 add access_id 1 ip udp src_port 67

Next possible completions:
dst_port            vlan                source_ip           destination_ip
dscp                permit              deny

чет не могу вкурить как правильнее достроить правило.

 

На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также.

 

Command: config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1 deny

Duplicate CPU interface filtering access entry
Fail

Пробовал разные варианты, но ошибка повторяется

Подтолкните в правильном направлении пожалуйста, где упустил что?

Изменено пользователем Eremin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Покритикуйте правила которые написал для 3250TG

 

#show access_profile
Command: show access_profile

Access Profile Table

Access Profile ID : 1
Type     : IP Frame Filter - UDP
Ports    : 50
Masks    : DSCP  Src.P
          ----- -----
                FFFF
ID  Mode
--- ------ ----- -----
1   Permit xx-xx 67

Access Profile ID : 2
Type     : IP Frame Filter - UDP
Ports    : 1-48
Masks    : DSCP  Src.P
          ----- -----
                FFFF
ID  Mode
--- ------ ----- -----
2   Deny   xx-xx 67

Total Entries : 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также.
config cpu access_profile

 

Правила CPU ACCESS Filtering обрабатывают ТОЛЬКО пакеты предназначенные самому коммутатору!

Коммутатор раздавать адреса не может, посему данным правилом сделать то что вам надо не получится.

Возможно 3026 серия не умеет обычный ACL.

 

А вообще в длинках в последних прошивках появилось filter dhcp server, который решает все одной командой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на счет скрининга и фильтра я в курсе, но это старички в которых даже при самой последней прошивке данная функция не появилась, ищу альтернативные пути защиты. В 3250ТГ вроде бы разобрался, а вот с 3026 - беда, видать там нечего подобного нету, ни фильтра, ни ацл

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 3026 нет ACL.

 

попробуйте сделать следуюшее:

1. Настройте traffic_segmentation таким образом, чтобы все порты в нем видели только аплинк порт.

config traffic_segmentation 1-24 forward_list 25

 

2. На вышестоящем коммутаторе уже настройте ACL.

Таким образом между портами коммутатора абоненты не будут видеть соседей, а все что пойдет в аплинк вы зарежете на вышестоящем коммутаторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.