Перейти до

вопрос по dhcp


Рекомендованные сообщения

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

Ссылка на сообщение
Поделиться на других сайтах

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

 

на эдже dhcp snoop есть, включите его и статика работать не будет.

Ссылка на сообщение
Поделиться на других сайтах

есть сеть - длинк дгс3627г - еджкор 3528м - тупые свичи (3-5шт), выдача адресов по дшсп, авторизация должна была получиться ип+мак, но если абонент прописывает вручную ип (активированный на сервере) он получает интернет, т.е. по сути ворует интернет у другого пользователя. как это можно исправить?

 

на эдже dhcp snoop есть, включите его и статика работать не будет.

Если мне не изменяет память, DHCP Snooping защищает только от "фальшивых" DHCP-серверов в сети. Для запрета статики нужен именно IP-MAC-Port-Binding.

Ссылка на сообщение
Поделиться на других сайтах

на эдже dhcp snoop есть, включите его и статика работать не будет.

dhcp snooping - это защита от левых дхцп серверов. А нам нужна функция IP source guard - абон сможет юзать только ип , которые ему выдает дхцп, на любом другом авторизация не будет происходить. В случае с ежик=>тупой свич, думаю можно будет их вручную забиндить(несколько ип на порт еджа).

Ссылка на сообщение
Поделиться на других сайтах

С хренали dhcp snooping это какая-то защита? Как раз то что нужно, разрешение работать только при автоматической выдаче адреса.

Ссылка на сообщение
Поделиться на других сайтах

В цисках есть такая феня - arp-guard, работает в связке с дхцп-снупингом и привязывает к порту IP+MAC юзера на время успешно авторизованной dhcp-сессии. То есть, это полный аналог длинковского IMPB. Я не спец по эдж-корам, но, по-идее, там должно быть что-то подобное.

 

Надо бы заменить упомянутые 3-5 тупых свича хотя бы на те же самые 3528m, или на длинки 3200/3526. Нынче это не так уж и дорого, особенно если поискать по форуму б/у, зато все проблемы решит абсолютно.

Ссылка на сообщение
Поделиться на других сайтах

DHCP Snooping - это, в общем случае, "подслушивание" DHCP и выполнение по этому поводу каких-то действий. У разных вендоров по-разному, поэтому спорить нечего. Достижение нужного функционала (привязка абона к порту на основании адреса, выданного DHCP-сервером) у разных вендоров называется (и порой работает тоже) по-разному:

D-Link: DHCP Snooping + IMPB;

Edge-Core/Accton (втч и OEM-ы): DHCP Snooping + IP Source Guard;

Cisco (подсказывают выше): DHCP Snooping + ARP Guard.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...