skybetik 134 Опубликовано: 2014-04-29 12:19:07 Share Опубликовано: 2014-04-29 12:19:07 Пытаюсь заблокировать udp порт 67 у юзиров access-list IP extended DENY_DHCP deny udp any any source-port 67 destination-port 68 permit any any Но не работает ( может что то не так настраиваю подскажите Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2014-05-01 10:17:39 Автор Share Опубліковано: 2014-05-01 10:17:39 Все еще нужна помощь Ссылка на сообщение Поделиться на других сайтах
Kitikonti 61 Опубліковано: 2014-05-01 11:07:55 Share Опубліковано: 2014-05-01 11:07:55 Что нужно получить на выходе? Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2014-05-01 21:48:25 Автор Share Опубліковано: 2014-05-01 21:48:25 Что нужно получить на выходе? запрет юзеруам вещать dhcp в сеть (ПРИМЕР включенный не в то гнездо рутор) Ссылка на сообщение Поделиться на других сайтах
Kitikonti 61 Опубліковано: 2014-05-02 05:28:36 Share Опубліковано: 2014-05-02 05:28:36 Включенные не в тот порт роутеры и соответственно раздачу левых адресов клиентом в сеть позволяет отлавливать и фильтровать функционал называемый dhcp snooping/dhcp relay (у эджкора это дхцп снупинг). Настраивается очень просто в глобальном конфиге комманды: ip dhcp snooping ip dhcp snooping vlan 123 где "123" - номер влана в котором пользователи сидят, если влан не один а больше то они перечисляются через запятую, как-то так: ip dhcp snooping vlan 123, 133, 145, 2004 На аплинковом и данлинковом интерфейсах выполянется комманда: ip dhcp snooping trust Она разрешает пролетать ответам от дхцп сервера в сторону клиентов через порт на котором включен режим траст. И никаких ацлей Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2014-05-02 06:55:56 Share Опубліковано: 2014-05-02 06:55:56 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. Ссылка на сообщение Поделиться на других сайтах
Zolks 24 Опубліковано: 2014-05-02 13:56:37 Share Опубліковано: 2014-05-02 13:56:37 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого? dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t) Ссылка на сообщение Поделиться на других сайтах
Kitikonti 61 Опубліковано: 2014-05-02 14:47:49 Share Опубліковано: 2014-05-02 14:47:49 Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно. По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp. да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого? dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t) И на 3510/3526ха2 тоже работает чудесно... не вижу смысла тратить ткам для костылей в виде ацлей... Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2014-05-03 05:27:28 Автор Share Опубліковано: 2014-05-03 05:27:28 Kitikonti (спасибо за пример сегодня попробую ) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас