alex006 Posted March 26, 2014 · Report post Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP? Share this post Link to post Share on other sites
SergioDeMaster Posted March 26, 2014 · Report post ACL, либо юзать опцию DHCP screening server Share this post Link to post Share on other sites
EShirokiy Posted March 26, 2014 · Report post а еще можно traffic_segmentation, если DHCP screening не поддерживается (на старых моделях) Share this post Link to post Share on other sites
mystic Posted March 26, 2014 · Report post ... и свичи Д-Линк... Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL. Share this post Link to post Share on other sites
Antares Posted March 27, 2014 · Report post Бейте сеть на виланы Share this post Link to post Share on other sites
SergioDeMaster Posted March 27, 2014 · Report post Бейте сеть на виланы А это чем поможет? влан на юзера? Share this post Link to post Share on other sites
Negator Posted March 27, 2014 · Report post тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Share this post Link to post Share on other sites
SergioDeMaster Posted March 27, 2014 · Report post тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит Share this post Link to post Share on other sites
mcdemon Posted March 27, 2014 · Report post тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит не загадит он же там один) Share this post Link to post Share on other sites
kriks Posted March 27, 2014 · Report post # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Share this post Link to post Share on other sites
alex006 Posted March 27, 2014 · Report post # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Share this post Link to post Share on other sites
s.lobanov Posted March 27, 2014 · Report post вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Share this post Link to post Share on other sites
kriks Posted March 27, 2014 · Report post # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Эти команды для DES-3028 (3200) Да, для каждого коммутатора. Share this post Link to post Share on other sites
alex006 Posted March 27, 2014 · Report post вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Так посоветуйте правильное решение! Share this post Link to post Share on other sites
EShirokiy Posted March 27, 2014 (edited) · Report post alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) Edited March 27, 2014 by EShirokiy Share this post Link to post Share on other sites
s.lobanov Posted March 27, 2014 · Report post alex006 Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое. Самый простой способ - влан на свитч, внутри свитча traffic_segmentation Share this post Link to post Share on other sites
EShirokiy Posted March 27, 2014 · Report post s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL Share this post Link to post Share on other sites
s.lobanov Posted March 27, 2014 · Report post s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов Share this post Link to post Share on other sites
Ivan_83 Posted March 27, 2014 · Report post Офисные вебсмарты тоже умеют ацл и дхцп скрининг, как минимум некоторые. Share this post Link to post Share on other sites
s.lobanov Posted March 27, 2014 · Report post Ivan_83 я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение? Share this post Link to post Share on other sites
alex006 Posted March 28, 2014 · Report post alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! Share this post Link to post Share on other sites
kayot Posted March 28, 2014 · Report post alex006 Вы ведь догадались, что аплинк должен быть в 25ом порту? Share this post Link to post Share on other sites
Sonneandsky Posted March 28, 2014 · Report post alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! config filter dhcp_server ports 25-28 state dis 25-28 порты аплинк :) Share this post Link to post Share on other sites
