Jump to content

DHCP ACL DES-3526

dubcon
 Share

Recommended Posts

dubcon

dubcon

Posted
Posted

Написал на форуме д-линка следующие вопросы:

 

Здравствуйте! Могу я где-то детально узнать о следующих параметрах option_82

 

dhcp_relay option_82 check {disable,enable}

dhcp_relay option_82 policy {keep,replace,drop}

 

если нет такой документации, опишите здесь пожалуйста.

 

У меня проблема, цепочка DES-3526 <--> DES-3526 <--> DES-3526 (все Build 6.20.B18), запрос на самом нижнем релейется, но также этот запрос релейется и на всех аплинковых портах вышестоящих коммутаторов. Такое наблюдаю только на 3526, а использую еще много моделей коммутаторов d-link.

 

настройки relay

# DHCP_RELAY

 

config dhcp_relay hops 16 time 0

config dhcp_relay option_82 state enable

config dhcp_relay option_82 check disable

config dhcp_relay option_82 policy keep

config dhcp_relay option_82 remote_id default

config dhcp_relay option_60 state disable

config dhcp_relay option_60 default mode drop

config dhcp_relay option_61 state disable

config dhcp_relay option_61 default drop

config dhcp_relay add vlanid 1111 10.10.10.121

 

 

Получил следующий ответ:

Чтобы юникастовые запросы не релеелись, используйте прошивку 6.00.B057, либо

1. отключаете dhcp relay

2. создаете acl для пропуска транзитных dhcp запросов на магистральных портах

3. включаете dhcp relay.

 

Мой вопрос после ответа игнорят до сих пор. Помогите плиз с ACL для этого случая:

6.00.B057 - насколько помню в ней нет релея по вланам, да и понижение не выход

Можно пример акла к примеру 26 порта?

Как то так?

 

config access_profile profile_id 255 add access_id 1 packet_content_mask (HEX) - что здесь вписать?

 

Спасибо!

DVM-Avgoor

DVM-Avgoor

Posted
Posted

Релеи в 3526 вроде срабатывают до ACL. Я не уверен, но что-то такое в далеком прошлом было.

Ну а ежели желаете поиграть, про packet_content_mask есть хауту на dlink.ru, там подробно описан процесс. Берете тпцдамп, смотрите как выглядят требуемые пакеты, заполняете маску, заполняете правило. Работа для джедаев, конечно, зато интересно :)

dubcon

dubcon

Posted
  • Author
Posted

Релеи в 3526 вроде срабатывают до ACL. Я не уверен, но что-то такое в далеком прошлом было.

Ну а ежели желаете поиграть, про packet_content_mask есть хауту на dlink.ru, там подробно описан процесс. Берете тпцдамп, смотрите как выглядят требуемые пакеты, заполняете маску, заполняете правило. Работа для джедаев, конечно, зато интересно :)

Спасибо! Много перелопатил и на этот хауту так и не наткнулся. Буду пробовать.

biox

biox

Posted
Posted

если вам отфильтровать dhcp пакеты нужно с целью подавления левых dhcp (например кор\во включенные роутеры клиентов), то у длинка есть отдельная функция dhcp server screening: config filter dhcp_server...

 

 

 

 

включаете на нужных портах

dubcon

dubcon

Posted
  • Author
Posted (edited)

Да мне не подавлять, мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве. Возможно решение в прошивке - по описанию подходит Бета-версия 6.20b20

 

Исправлено дублирование DHCP ACK пакетов при использовании DHCP relay.

 

 

Закончился лимит сообщений. vurd, спасибо, по логике подходит. А я вообще локал релейем разрешаю дхцп запросы для других вланов. Без него фильтрится все кроме влана с релейем.

Edited by dubcon
vurd

vurd

Posted
Posted

Вот так проверьте. Локал релей как раз для этого включен, помнится.

 

# DHCP_RELAY

enable dhcp_relay
config dhcp_relay hops 4 time 0
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy keep
config dhcp_relay option_82 remote_id default
config dhcp_relay option_60 state disable
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 state disable
config dhcp_relay option_61 default drop
config dhcp_relay add ipif System <IP>
config dhcp_relay add ipif System <IP2>

# DHCP_LOCAL_RELAY

enable dhcp_local_relay
config dhcp_local_relay option_82 ports 1-26 policy keep

dubcon

dubcon

Posted
  • Author
Posted (edited)

enable dhcp_local_relay

config dhcp_local_relay option_82 ports 1-26 policy keep

 

Нет не помогает. На проблемных включен и выставлен keep, а дублирует все равно. Осталось попробовать прошивку и акл

 

Но скорее всего прошивка, потому что оригинальный отрелееный пакет проходит, просто на всех транзитных узлах появляется дубликат со своим remoteID

Edited by dubcon
vurd

vurd

Posted
Posted

Включение локал релея без вланов подавляло все широковещательные DHCPDISCOVER\REQUEST уходящие за свитч. Прошивка у меня Firmware Version : Build 6.00.B28.

dubcon

dubcon

Posted
  • Author
Posted

Скорее нет ни какой проблемы. Проанализировал жалобы, посмотрел логи. Запрос скорее прилетает широковещательный в влане сверху на аплинк. Сбило с толку то что на форуме д-линка быстро дали ответ - подумал что проблема известная)

  • 3 weeks later...
snark

snark

Posted
Posted

мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве

 

В DES-3526 настравиваете DHCP relay:

 

config dhcp_relay add ipif System 1.1.1.1
config dhcp_relay add ipif System 2.2.2.2
config dhcp_relay option_82 state enable
enable dhcp_relay

 

А потом не настраиваете, а просто включаете DHCP local relay:

 

enable dhcp_local_relay

pppoetest

pppoetest

Posted
Posted (edited)

Вот так проверьте. Локал релей как раз для этого включен, помнится.

 

# DHCP_RELAY

enable dhcp_relay

# DHCP_LOCAL_RELAY

enable dhcp_local_relay

Можно уточнения, зачем включается локальный релей вместе с глобальным?

Edited by pppoetest
snark

snark

Posted
Posted

зачем включается локальный релей вместе с глобальным?

 

Дык писали же:

 

Включение локал релея без вланов подавляло все широковещательные DHCPDISCOVER\REQUEST уходящие за свитч.

 

Это такая хитрая особенность именно DES-3526.

Negator

Negator

Posted
Posted

А можно не включать локальный релей, а просто добавить на все порты ACL блокирующий DHCP запросы.

Релеить коммутатор будет ибо релей срабатывает до ACL, а дальше они не пройдут.

Собственно включение локального релея и делает ровно то же самое.

 

Обращаю Ваше внимание что на других моделях коммутаторов поведение другое.

snark

snark

Posted
Posted

Обращаю Ваше внимание что на других моделях коммутаторов поведение другое.

 

Надо было написать БОЛЬШИМИ буквами, хотя ... Все равно никто читать не будет :(

snark

snark

Posted
Posted

на d-linke acl ками не зафильтровать dhcp пакеты

 

На Des-3526 - нет, т.к. DHCP relay работает _до_ ACL, а на DES-3028 или DES-1228/ME - запросто, т.к. DHCP relay работает _после_ ACL.

  • 2 weeks later...
dubcon

dubcon

Posted
  • Author
Posted

мне надо чтобы DHCP запросы с опцией 82 проходили по аплинкам свободно, а не дублировались на каждом устройстве

 

В DES-3526 настравиваете DHCP relay:

 

config dhcp_relay add ipif System 1.1.1.1
config dhcp_relay add ipif System 2.2.2.2
config dhcp_relay option_82 state enable
enable dhcp_relay

 

А потом не настраиваете, а просто включаете DHCP local relay:

 

enable dhcp_local_relay

 

Благодарю. Помогло

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.