Jump to content
Калькуляторы

DHCP в сети нужен совет

Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP?

Share this post


Link to post
Share on other sites

а еще можно traffic_segmentation, если DHCP screening не поддерживается (на старых моделях)

Share this post


Link to post
Share on other sites

... и свичи Д-Линк...

Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL.

Share this post


Link to post
Share on other sites

Бейте сеть на виланы

А это чем поможет? влан на юзера?

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

Share this post


Link to post
Share on other sites

тем что "левый" DHCP сервер не распространится дальше своего влана.

Если влан на юзера - то вообще соседей не заденет.

Ну так в своем влане все равно нагадит

не загадит он же там один)

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Share this post


Link to post
Share on other sites

вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли

Share this post


Link to post
Share on other sites

# Priority DHCP request

create access_profile ip udp src_port_mask 0xFFFF profile_id 100

#Разрешить DHCP ответы на магистральных портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6

#Разрешить DHCP запросы

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6

#Запретить DHCP ответы на клиентских портах

config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

Это необходимо прописать на каждом D-Link-ке?

Эти команды для DES-3028 (3200) Да, для каждого коммутатора.

Share this post


Link to post
Share on other sites

вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли

Так посоветуйте правильное решение!

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

Edited by EShirokiy

Share this post


Link to post
Share on other sites

alex006

Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое.

 

Самый простой способ - влан на свитч, внутри свитча traffic_segmentation

Share this post


Link to post
Share on other sites

s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL

Share this post


Link to post
Share on other sites

s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL

 

она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов

Share this post


Link to post
Share on other sites

Офисные вебсмарты тоже умеют ацл и дхцп скрининг, как минимум некоторые.

Share this post


Link to post
Share on other sites

Ivan_83

я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями

 

И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение?

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

Share this post


Link to post
Share on other sites

alex006

Вы ведь догадались, что аплинк должен быть в 25ом порту?

Share this post


Link to post
Share on other sites

alex006,

config filter dhcp_server ports 1-24 state enable
config traffic_segmentation 1-24 forward_list 25

Намного проще)

После этих правил у меня вообще абоненты перестали получать адресса!

config filter dhcp_server ports 25-28 state dis

25-28 порты аплинк :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this