Перейти до

ES3526XA-V2 acl

skybetik

Від skybetik
в Комутатори L2

 Share

Рекомендованные сообщения

skybetik Вампиреныш

skybetik

Опубликовано:
Опубликовано:

Пытаюсь заблокировать udp порт 67 у юзиров 

access-list IP extended DENY_DHCP
deny udp any any source-port 67 destination-port 68
permit any any

Но не работает ( может что то не так настраиваю подскажите 

skybetik Вампиреныш

skybetik

Опубліковано:
  • Автор
Опубліковано:

Что нужно получить на выходе?

запрет юзеруам  вещать dhcp в сеть   (ПРИМЕР включенный не в то гнездо рутор)

Kitikonti Вампиреныш

Kitikonti

Опубліковано:
Опубліковано:

Включенные не в тот порт роутеры и соответственно раздачу левых адресов клиентом в сеть позволяет отлавливать и фильтровать функционал называемый dhcp snooping/dhcp relay (у эджкора это дхцп снупинг).

Настраивается очень просто в глобальном конфиге комманды:

ip dhcp snooping
ip dhcp snooping vlan 123

где "123" - номер влана в котором пользователи сидят, если влан не один а больше то они перечисляются через запятую, как-то так:

ip dhcp snooping vlan 123, 133, 145, 2004

На аплинковом и данлинковом интерфейсах выполянется комманда:

ip dhcp snooping trust

Она разрешает пролетать ответам от дхцп сервера в сторону клиентов через порт на котором включен режим траст.

 

И никаких ацлей :)

KaYot Бог

KaYot

Опубліковано:
Опубліковано:

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

Zolks Точу Зубы

Zolks

Опубліковано:
Опубліковано:

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого?

dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t)

Kitikonti Вампиреныш

Kitikonti

Опубліковано:
Опубліковано:

 

Включать dhcp snooping для борьбы с левыми dhcp-серверами - это как болгаркой сыр резать. Вроде и режется, но как-то херово и страшно.

По аналогии с длинком, в acl необходимо указывать что правило применяется только к egress трафику нужного порта. Иначе или конструкция ничего не ловит, или наоборот блокирует весь dhcp.

да ну... смысл использовать костыли в виде acl, если есть прекрасно работающий функционал для этого?

dhcp snooping + sip-mac и спим спокойно. (правда используются 3528М, 3510ma, 3510-28t)

 

И на 3510/3526ха2 тоже работает чудесно... не вижу смысла тратить ткам для костылей в виде ацлей...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    • Немає користувачів, що переглядають цю сторінку.
×
×
  • Створити нове...