alex006 Posted March 26, 2014 Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioDeMaster Posted March 26, 2014 ACL, либо юзать опцию DHCP screening server Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted March 26, 2014 а еще можно traffic_segmentation, если DHCP screening не поддерживается (на старых моделях) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mystic Posted March 26, 2014 ... и свичи Д-Линк... Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Antares Posted March 27, 2014 Бейте сеть на виланы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioDeMaster Posted March 27, 2014 Бейте сеть на виланы А это чем поможет? влан на юзера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioDeMaster Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит не загадит он же там один) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kriks Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex006 Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 27, 2014 вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kriks Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Эти команды для DES-3028 (3200) Да, для каждого коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex006 Posted March 27, 2014 вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Так посоветуйте правильное решение! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted March 27, 2014 (edited) alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) Edited March 27, 2014 by EShirokiy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 27, 2014 alex006 Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое. Самый простой способ - влан на свитч, внутри свитча traffic_segmentation Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted March 27, 2014 s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 27, 2014 s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted March 27, 2014 Офисные вебсмарты тоже умеют ацл и дхцп скрининг, как минимум некоторые. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 27, 2014 Ivan_83 я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex006 Posted March 28, 2014 alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted March 28, 2014 alex006 Вы ведь догадались, что аплинк должен быть в 25ом порту? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sonneandsky Posted March 28, 2014 alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! config filter dhcp_server ports 25-28 state dis 25-28 порты аплинк :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...