Перейти до

ES3526XA-V2 acl

skybetik

Автор: skybetik,
в Комутатори L2

 Share Подписчики 0

Рекомендованные сообщения

skybetik

skybetik 134

Опубликовано:
Опубликовано:

Пытаюсь заблокировать udp порт 67 у юзиров 

access-list IP extended DENY_DHCP
deny udp any any source-port 67 destination-port 68
permit any any

Но не работает ( может что то не так настраиваю подскажите 

Ссылка на сообщение
Поделиться на других сайтах
skybetik

skybetik 134

Опубліковано:
  • Автор
Опубліковано:

Что нужно получить на выходе?

запрет юзеруам  вещать dhcp в сеть   (ПРИМЕР включенный не в то гнездо рутор)

Ссылка на сообщение
Поделиться на других сайтах
Kitikonti

Kitikonti 61

Опубліковано:
Опубліковано:

Включенные не в тот порт роутеры и соответственно раздачу левых адресов клиентом в сеть позволяет отлавливать и фильтровать функционал называемый dhcp snooping/dhcp relay (у эджкора это дхцп снупинг).

Настраивается очень просто в глобальном конфиге комманды:

ip dhcp snooping
ip dhcp snooping vlan 123

где "123" - номер влана в котором пользователи сидят, если влан не один а больше то они перечисляются через запятую, как-то так:

ip dhcp snooping vlan 123, 133, 145, 2004

На аплинковом и данлинковом интерфейсах выполянется комманда:

ip dhcp snooping trust

Она разрешает пролетать ответам от дхцп сервера в сторону клиентов через порт на котором включен режим траст.

 

И никаких ацлей :)

Ссылка на сообщение
Поделиться на других сайтах
KaYot

KaYot 3 705

Опубліковано:
Опубліковано:

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

Ссылка на сообщение
Поделиться на других сайтах
Zolks

Zolks 24

Опубліковано:
Опубліковано:

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого?

dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t)

Ссылка на сообщение
Поделиться на других сайтах
Kitikonti

Kitikonti 61

Опубліковано:
Опубліковано:

 

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого?

dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t)

 

И на 3510/3526ха2 тоже работает чудесно... не вижу смысла тратить ткам для костылей в виде ацлей...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...