alex006 Опубликовано 26 марта, 2014 · Жалоба Есть проводная сеть собрана на сервере микротик и свичи Д-Линк. Абоненты работают по DHCP, но есть абоненты эксперементаторы с роутерами и включают кабель в LAN порт соответственно гадят в сеть. Подскажите как можно заблокировать включение другой сети DHCP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioDeMaster Опубликовано 26 марта, 2014 · Жалоба ACL, либо юзать опцию DHCP screening server Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 26 марта, 2014 · Жалоба а еще можно traffic_segmentation, если DHCP screening не поддерживается (на старых моделях) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mystic Опубликовано 26 марта, 2014 · Жалоба ... и свичи Д-Линк... Если свичи умные, то настройте на них DHCP snooping. Просто указать с каких портов разрешен DHCP и все. Или юзайте ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 27 марта, 2014 · Жалоба Бейте сеть на виланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioDeMaster Опубликовано 27 марта, 2014 · Жалоба Бейте сеть на виланы А это чем поможет? влан на юзера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 27 марта, 2014 · Жалоба тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioDeMaster Опубликовано 27 марта, 2014 · Жалоба тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 27 марта, 2014 · Жалоба тем что "левый" DHCP сервер не распространится дальше своего влана. Если влан на юзера - то вообще соседей не заденет. Ну так в своем влане все равно нагадит не загадит он же там один) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kriks Опубликовано 27 марта, 2014 · Жалоба # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 27 марта, 2014 · Жалоба # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2014 · Жалоба вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kriks Опубликовано 27 марта, 2014 · Жалоба # Priority DHCP request create access_profile ip udp src_port_mask 0xFFFF profile_id 100 #Разрешить DHCP ответы на магистральных портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6 #Разрешить DHCP запросы config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6 #Запретить DHCP ответы на клиентских портах config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny Это необходимо прописать на каждом D-Link-ке? Эти команды для DES-3028 (3200) Да, для каждого коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 27 марта, 2014 · Жалоба вланы(+traffic_segmentation). screening'и и acl-и для решения этой задачи это уродливые костыли Так посоветуйте правильное решение! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 27 марта, 2014 (изменено) · Жалоба alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) Изменено 27 марта, 2014 пользователем EShirokiy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2014 · Жалоба alex006 Что именно посоветовать? Как настроить влан или traffic_segmentation? В доке написано как настраивается и то и другое. Самый простой способ - влан на свитч, внутри свитча traffic_segmentation Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 27 марта, 2014 · Жалоба s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2014 · Жалоба s.lobanov, согласен, такая схема работает даже на старых длинках, где нет dhcp filtering и ACL она работает почти на всех свитчах(независимо от вендора), ну кроме уж совсем офисных веб-смартов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 марта, 2014 · Жалоба Офисные вебсмарты тоже умеют ацл и дхцп скрининг, как минимум некоторые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2014 · Жалоба Ivan_83 я написал про совсем офисные, которые почти неуправляшки, с минимальными возможностями И зачем делать костыли, которые ещё и зависят от оборудования, когда можно применить заведомо масштабируемое и стабильное(ибо аппаратное) решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex006 Опубликовано 28 марта, 2014 · Жалоба alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 марта, 2014 · Жалоба alex006 Вы ведь догадались, что аплинк должен быть в 25ом порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonneandsky Опубликовано 28 марта, 2014 · Жалоба alex006, config filter dhcp_server ports 1-24 state enable config traffic_segmentation 1-24 forward_list 25 Намного проще) После этих правил у меня вообще абоненты перестали получать адресса! config filter dhcp_server ports 25-28 state dis 25-28 порты аплинк :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...