alex006 Posted March 26, 2014 Posted March 26, 2014 Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP? Вставить ник Quote
SergioDeMaster Posted March 26, 2014 Posted March 26, 2014 ACL, либо юзать опцию DHCP screening server Вставить ник Quote
EShirokiy Posted March 26, 2014 Posted March 26, 2014 а еще можно traffic_segmentation, если DHCP screening не поддерживается (на старых моделях) Вставить ник Quote
mystic Posted March 26, 2014 Posted March 26, 2014 ... и свичи Д-Линк... Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL. Вставить ник Quote
SergioDeMaster Posted March 27, 2014 Posted March 27, 2014 Бейте сеть на виланы А это чем поможет? влан на юзера? Вставить ник Quote
Negator Posted March 27, 2014 Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Вставить ник Quote
SergioDeMaster Posted March 27, 2014 Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит Вставить ник Quote
mcdemon Posted March 27, 2014 Posted March 27, 2014 тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит не загадит он же там один) Вставить ник Quote
kriks Posted March 27, 2014 Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Вставить ник Quote
alex006 Posted March 27, 2014 Author Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Вставить ник Quote
s.lobanov Posted March 27, 2014 Posted March 27, 2014 вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Вставить ник Quote
kriks Posted March 27, 2014 Posted March 27, 2014 # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Эти команды для DES-3028 (3200) Да, для каждого коммутатора. Вставить ник Quote
alex006 Posted March 27, 2014 Author Posted March 27, 2014 вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Так посоветуйте правильное решение! Вставить ник Quote
EShirokiy Posted March 27, 2014 Posted March 27, 2014 (edited) alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) Edited March 27, 2014 by EShirokiy Вставить ник Quote
s.lobanov Posted March 27, 2014 Posted March 27, 2014 alex006 Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое. Самый простой способ - влан на свитч, внутри свитча traffic_segmentation Вставить ник Quote
EShirokiy Posted March 27, 2014 Posted March 27, 2014 s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL Вставить ник Quote
s.lobanov Posted March 27, 2014 Posted March 27, 2014 s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов Вставить ник Quote
Ivan_83 Posted March 27, 2014 Posted March 27, 2014 Офисные вебсмарты тоже умеют ацл и дхцп скрининг, как минимум некоторые. Вставить ник Quote
s.lobanov Posted March 27, 2014 Posted March 27, 2014 Ivan_83 я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение? Вставить ник Quote
alex006 Posted March 28, 2014 Author Posted March 28, 2014 alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! Вставить ник Quote
kayot Posted March 28, 2014 Posted March 28, 2014 alex006 Вы ведь догадались, что аплинк должен быть в 25ом порту? Вставить ник Quote
Sonneandsky Posted March 28, 2014 Posted March 28, 2014 alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! config filter dhcp_server ports 25-28 state dis 25-28 порты аплинк :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.