skybetik 134 Posted 2014-04-29 12:19:07 Share Posted 2014-04-29 12:19:07 Пытаюсь заблокировать udp порт 67 у юзиров access-list IP extended DENY_DHCP deny udp any any source-port 67 destination-port 68 permit any any Но не работает ( может что то не так настраиваю подскажите Link to post Share on other sites
skybetik 134 Posted 2014-05-01 10:17:39 Author Share Posted 2014-05-01 10:17:39 Все еще нужна помощь Link to post Share on other sites
Kitikonti 61 Posted 2014-05-01 11:07:55 Share Posted 2014-05-01 11:07:55 Что нужно получить на выходе? Link to post Share on other sites
skybetik 134 Posted 2014-05-01 21:48:25 Author Share Posted 2014-05-01 21:48:25 Что нужно получить на выходе? запрет юзеруам вещать dhcp в сеть (ПРИМЕР включенный не в то гнездо рутор) Link to post Share on other sites
Kitikonti 61 Posted 2014-05-02 05:28:36 Share Posted 2014-05-02 05:28:36 Включенные не в тот порт роутеры и соответственно раздачу левых адресов клиентом в сеть позволяет отлавливать и фильтровать функционал называемый dhcp snooping/dhcp relay (у эджкора это дхцп снупинг). Настраивается очень просто в глобальном конфиге комманды: ip dhcp snooping ip dhcp snooping vlan 123 где "123" - номер влана в котором пользователи сидят, если влан не один а больше то они перечисляются через запятую, как-то так: ip dhcp snooping vlan 123, 133, 145, 2004 На аплинковом и данлинковом интерфейсах выполянется комманда: ip dhcp snooping trust Она разрешает пролетать ответам от дхцп сервера в сторону клиентов через порт на котором включен режим траст. И никаких ацлей Link to post Share on other sites
KaYot 3,730 Posted 2014-05-02 06:55:56 Share Posted 2014-05-02 06:55:56 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. Link to post Share on other sites
Zolks 24 Posted 2014-05-02 13:56:37 Share Posted 2014-05-02 13:56:37 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого? dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t) Link to post Share on other sites
Kitikonti 61 Posted 2014-05-02 14:47:49 Share Posted 2014-05-02 14:47:49 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого? dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t) И на 3510/3526ха2 тоже работает чудесно... не вижу смысла тратить ткам для костылей в виде ацлей... Link to post Share on other sites
skybetik 134 Posted 2014-05-03 05:27:28 Author Share Posted 2014-05-03 05:27:28 Kitikonti (спасибо за пример сегодня попробую ) Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now