Перейти до

Cisco ISG для DHCP

Minotaur

Автор: Minotaur,
в Маршрутизатор L3

 Share Подписчики 1

Рекомендованные сообщения

Minotaur

Minotaur 35

Опубликовано:
Опубликовано:

Приветствую!

 

Есть Cisco ISG для обслуживания DHCP-подписчиков: все отстроено и работает: клиент авторизируется, получает по DHCP адрес и получает доступ в Интернет. Инициировать сессию в соответствии с конфигурацией может исключительно DHCP-пакет:

interface GigabitEthernet0/2.33
encapsulation dot1Q 33
ip dhcp relay information trusted
ip unnumbered Loopback0
ip helper-address x.x.x.245
ip directed-broadcast
arp timeout 60
service-policy type control DHCP-Subscriber
ip subscriber l2-connected
 initiator dhcp
!
policy-map type control DHCP-Subscriber
class type control always event session-start
 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #
 20 service local
!
class type control always event session-restart
 10 authorize aaa list DHCP-BRAS identifier remote-id plus circuit-id plus mac-address separator #

 

Но есть проблема: особо одаренные клиенты полученный по DHCP адрес прописывают статически.

И продолжают нормально работать. Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier.

 

Как с этим бороться? Спасибо.

Ссылка на сообщение
Поделиться на других сайтах
spaul

spaul 69

Опубліковано:
Опубліковано:

dhcp-snooping + port security

 

ip verify source vlan dhcp-snooping port-security

 

Копать в эту сторону. Трафик будет разрешаться только с ip выданого посредством dhcp

Ссылка на сообщение
Поделиться на других сайтах
dir1212

dir1212 9

Опубліковано:
Опубліковано:

Приветствую!

Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier.

 

Как с этим бороться? Спасибо.

Может ISG еще помнит lease для клиента - поэтому и правильный идентификатор.

С другой стороны что вам мешает ответить на Access-Request отрицательно из биллинга.

Ссылка на сообщение
Поделиться на других сайтах
Digital Telecom IX

Digital Telecom IX 6

Опубліковано:
Опубліковано:

Приветствую!

Даже после того, как хитрец отключился (выключил компьютер) и его сессия отвалилась, а потом снова включил компьютер - сессия как ни в чем не бывало поднимается, хотя DHCP-пакет от него не приходил. В таком случае на Radius я вижу только пакет Access-Request с правильным identifier.

 

Как с этим бороться? Спасибо.

Может ISG еще помнит lease для клиента - поэтому и правильный идентификатор.

С другой стороны что вам мешает ответить на Access-Request отрицательно из биллинга.

Спасибо. Пока поставил просто короткую лизу. В будущем может буду выставлять соответствующий флажок в биллинге и по нему давать отрицательный ответ.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...