Jump to content
Калькуляторы

DHCP в сети нужен совет

Reply to this topic

alex006   

alex006
Posted

Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP?

Share this post

Link to post
Share on other sites

mystic   

mystic
Posted

... и свичи Д-Линк...

Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL.

Share this post

Link to post
Share on other sites

Negator   

Negator
Posted

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Share this post

Link to post
Share on other sites

SergioDeMaster   

SergioDeMaster
Posted

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

не загадит он же там один)

Share this post

Link to post
Share on other sites

kriks   

kriks
Posted

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Share this post

Link to post
Share on other sites

alex006   

alex006
Posted

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Share this post

Link to post
Share on other sites

kriks   

kriks
Posted

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Эти команды для DES-3028 (3200) Да, для каждого коммутатора.

Share this post

Link to post
Share on other sites

alex006   

alex006
Posted

вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли

Так посоветуйте правильное решение!

Share this post

Link to post
Share on other sites

EShirokiy   

EShirokiy
Posted (edited)

alex006, 

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

Edited by EShirokiy

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

alex006

Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое.

 

Самый простой способ - влан на свитч, внутри свитча traffic_segmentation

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL

 

она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Ivan_83

я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями

 

И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение?

Share this post

Link to post
Share on other sites

alex006   

alex006
Posted

alex006, 

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

Share this post

Link to post
Share on other sites

Sonneandsky   

Sonneandsky
Posted

alex006, 

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

config filter dhcp_server ports 25-28 state dis

25-28 порты аплинк :)

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...