Jump to content

вопрос по dhcp

fynjy_79

By fynjy_79,
in For newbies

 Share Followers 2

Recommended Posts

fynjy_79

fynjy_79 28

Posted
Posted

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

Link to post
Share on other sites
laffytaffy

laffytaffy 84

Posted
Posted

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

 

на эдже dhcp snoop есть, включите его и статика работать не будет.

Link to post
Share on other sites
madf

madf 279

Posted
Posted

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

 

на эдже dhcp snoop есть, включите его и статика работать не будет.

Если мне не изменяет память, DHCP Snooping защищает только от "фальшивых" DHCP-серверов в сети. Для запрета статики нужен именно IP-MAC-Port-Binding.

Link to post
Share on other sites
wantmore

wantmore 30

Posted
Posted

на эдже dhcp snoop есть, включите его и статика работать не будет.

dhcp snooping - это защита от левых дхцп серверов. А нам нужна функция IP source guard - абон сможет юзать только ип , которые ему выдает дхцп, на любом другом авторизация не будет происходить. В случае с ежик=>тупой свич, думаю можно будет их вручную забиндить(несколько ип на порт еджа).

Link to post
Share on other sites
KaYot

KaYot 3,738

Posted
Posted

С хренали dhcp snooping это какая-то защита? Как раз то что нужно, разрешение работать только при автоматической выдаче адреса.

Link to post
Share on other sites
alex_o

alex_o 1,194

Posted
Posted

В цисках есть такая феня - arp-guard, работает в связке с дхцп-снупингом и привязывает к порту IP+MAC юзера на время успешно авторизованной dhcp-сессии. То есть, это полный аналог длинковского IMPB. Я не спец по эдж-корам, но, по-идее, там должно быть что-то подобное.

 

Надо бы заменить упомянутые 3-5 тупых свича хотя бы на те же самые 3528m, или на длинки 3200/3526. Нынче это не так уж и дорого, особенно если поискать по форуму б/у, зато все проблемы решит абсолютно.

Link to post
Share on other sites
Abram

Abram 98

Posted
Posted

DHCP Snooping - это, в общем случае, "подслушивание" DHCP и выполнение по этому поводу каких-то действий. У разных вендоров по-разному, поэтому спорить нечего. Достижение нужного функционала (привязка абона к порту на основании адреса, выданного DHCP-сервером) у разных вендоров называется (и порой работает тоже) по-разному:

D-Link: DHCP Snooping + IMPB;

Edge-Core/Accton (втч и OEM-ы): DHCP Snooping + IP Source Guard;

Cisco (подсказывают выше): DHCP Snooping + ARP Guard.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 2
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...