detasb Posted August 24, 2014 Posted August 24, 2014 Доброе время суток. Вообщем проблема следующая живем в сибири на Байкале оч частые перепады напряжения и магнитные бури. Сеть построена на управляющих комутаторах в основном des-3200 в сети 50/50 IPoe и pppoe . После каждой сильной грозы мы обнаруживаем в сети около 10-20 роутеров (в основном марки dlink dir-300) которые сходят с ума и посылают через ван порт IP 192.168.1.1 при том что на порту LAN настроен 192.168.0.1 и при этом на 192.168.1.1 работает DHCP и защита блокирует роутер полностью, а если убрать защиту то они начинают навязывать свои IP другим аббонентам. роутеры и сбрасывали и перепрошивали, толку нет. неподскажите как запретить на свитчах dhcp запросы с этих портов? или как быть ? Вставить ник Quote
pppoetest Posted August 24, 2014 Posted August 24, 2014 Как оказалось, это не всегда работает http://forum.dlink.ru/viewtopic.php?f=2&t=166737 Вставить ник Quote
DeLL Posted August 24, 2014 Posted August 24, 2014 У нас VLAN на коммутатор, на каждом коммутаторе изоляция абонентских портов, агрегация тоже с изоляцией на всякий. Таким образом мы исключаем любой пиринг между абонентами. Правда сеть у нас пока небольшая и кроме интернета пока других сервисов нет Вставить ник Quote
pppoetest Posted August 24, 2014 Posted August 24, 2014 На чем терминируете вланы, если не секрет? Вставить ник Quote
viver Posted August 24, 2014 Posted August 24, 2014 А вот если так радикально изолировать абонентов, то, к примеру, и ретрекер работать не будет? Вставить ник Quote
DeLL Posted August 24, 2014 Posted August 24, 2014 Напрямую работать не будет, но если разрешить пиринг между абонентами по внешним адресам без ограничения скорости - тогда весь трафик пойдет через брас (в моем случае - через микротик) Вставить ник Quote
Diamont Posted August 24, 2014 Posted August 24, 2014 Микротик CCR1036-12G-4S И сколько на нём онлайн? Вставить ник Quote
rekfuby Posted August 24, 2014 Posted August 24, 2014 (edited) Если не хотите резать трафик между клиентами, то вот вам ACL для блокировки серваков на клиентских портах: # Создание профиля create access_profile ip udp src_port_mask 0xFFFF profile_id 3 #Разрешение DHCP сервера с магистрали (9 и 10 порта) config access_profile profile_id 3 add access_id 1 ip udp src_port 67 port 9,10 permit #Блокировка серверов с клиентских портов (1-8 порт) config access_profile profile_id 3 add access_id 2 ip udp src_port 67 port 1-8 deny Edited August 24, 2014 by rekfuby Вставить ник Quote
pppoetest Posted August 25, 2014 Posted August 25, 2014 Проводил эксперимент на DES3200-XX с1 ревизии, не работает блокировка клиентских дхцп, ни через встроенный механизм, ни через аклы, на форуме блинка проблему подтвердили. А вот если так радикально изолировать абонентов, то, к примеру, и ретрекер работать не будет? локал прокси арп? но тогда трафик будет доходить до браса. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.