Jump to content
Калькуляторы

DHCP в сети нужен совет

Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP?

Share this post


Link to post
Share on other sites

... и свичи Д-Линк...

Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL.

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

не загадит он же там один)

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Эти команды для DES-3028 (3200) Да, для каждого коммутатора.

Share this post


Link to post
Share on other sites

вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли

Так посоветуйте правильное решение!

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

Edited by EShirokiy

Share this post


Link to post
Share on other sites

alex006

Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое.

 

Самый простой способ - влан на свитч, внутри свитча traffic_segmentation

Share this post


Link to post
Share on other sites

s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL

 

она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов

Share this post


Link to post
Share on other sites

Ivan_83

я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями

 

И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение?

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

config filter dhcp_server ports 25-28 state dis

25-28 порты аплинк :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.