Перейти до

DGS-1100-06/ME и DHCP

mstsc

Автор: mstsc,
в Комутатори L2

 Share Подписчики 0

Рекомендованные сообщения

mstsc

mstsc 7

Опубликовано:
Опубликовано:

Вопрос весьма тривиален, однако интересно получить на него ответ:

 

DGS-1100-06/ME использую на уровне доступа. Авторизация абонентов по средствам option 82. В свиче нет функции dhcp snooping. однако ACL функции весьма развёрнуты. Как, на ваш взгляд, правильно организовать защиту от диких DHCP и в общем безопасность портов? Между собой абоненты общаться не должны. 

Ссылка на сообщение
Поделиться на других сайтах
mstsc

mstsc 7

Опубліковано:
  • Автор
Опубліковано:

на сайте длинка есть пример настройки АЦЛ

Пример подходит для свичей, в которых ACL не разделена на ACL и CPU ACL. 

Да и не только в DHCP проблема. Интересен грамотный подход к вопросу. 

Ссылка на сообщение
Поделиться на других сайтах
logic

logic 512

Опубліковано:
Опубліковано: (відредаговано)

нужно два правила ... в одну сторону пропускало DHCP  а  назад  нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

Відредаговано logic
Ссылка на сообщение
Поделиться на других сайтах
mstsc

mstsc 7

Опубліковано:
  • Автор
Опубліковано:

нужно два правила ... в одну сторону пропускало DHCP  а  назад  нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

В том, что в старших моделях логичнее использовать встроенную функцию config filter dhcp_server. Быть может и для 1100 ACL не лучший вариант. 

Ссылка на сообщение
Поделиться на других сайтах
Jeko

Jeko 8

Опубліковано:
Опубліковано:
Для DGS-1100-06/ME и DGS-1100-10/ME можно резать левые dhcp такими acl

 

create access_profile ip udp src_port_mask 0xffff profile_id 1 

config access_profile profile_id 1 add access_id 1 ip udp  src_port 67 port <порты доступа> deny

config access_profile profile_id 1 add access_id 2 ip udp  src_port 68 port <порты доступа> permit

create access_profile ip udp dst_port_mask 0xffff profile_id 2 

config access_profile profile_id 2 add access_id 1 ip udp  dst_port 68 port <порты доступа> deny  

config access_profile profile_id 2 add access_id 2 ip udp  dst_port 67 port <порты доступа> permit

Ссылка на сообщение
Поделиться на других сайтах
Delacrua

Delacrua 0

Опубліковано:
Опубліковано:

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
mstsc

mstsc 7

Опубліковано:
  • Автор
Опубліковано:

 

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny

Первый ответ с пониманием сути дела. Спасибо.

Ссылка на сообщение
Поделиться на других сайтах
  • 10 months later...
mstsc

mstsc 7

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

Год прошел, DGS-1100-06/ME в штате около сотни, хорошие, качественные коммутаторы. В сезон гроз не потерял ни одного порта на этих девайсах, хотя тут нужно еще отдать должное монтажной команде. 

Основные моменты на которые стоит обратить внимание:

На старой прошивке в устройстве не работает ACL!!! 

 

После обновление прошивки с дикими DHCP поможет справиться такая ACL:

 

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 1-5 deny

 

 

 
На некоторых прошивках устройство очень редко но зависает. На данный момент последняя прошивка DGS-1100-06-A1-1-03-B029. Такой проблемы не наблюдал. 

 

В устройствах ОЧЕНЬ легко отлетают радиаторы от чипов. (они на клею) Даже лёгкий удар и внутри корпуса погремушка. Будьте осторожны, не включайте устройство с оторванным радиатором, оно или перегреется или радиатор что либо закоротит.

 

В новых прошивках усложняется настройка dhcp_local_relay, требуется указывать диапазон портов на которых будет происходить выдача адресов:

После обновления прошивки со старой на более новую свич перестанет выдавать адреса пока не добавить этот параметр. 

config dhcp_local_relay port 1-5 state enable

 

 

В устройстве можно отключать кнопку сброса, однако других вариантов "вспомнить" пароль кроме сервисного центра не останется.

 

Функция traffic segmentation очень умело изолирует порты друг от друга даже если они находятся в одном vlan'e. 

К примеру 6 порт UP-Link:

config traffic_segmentation 1-5 forward_list 6

В данном случае мы запрещаем общение всем с первого по пятый порт друг с другом и разрешаем доступ только к 6 порту, который позволяет нам выйти в сеть дальше. 

Відредаговано mstsc
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • x-net
      Продам б/в комутатор D-Link DGS-3120-24SC
      Від x-net
      Продам б/в комутатор D-Link DGS-3120-24SC з вухами, повністю робочий, у доброму косметичному стані, можливий б/г розрахунок. Ціна 4000 гривень. 
    • SanKo_mn
      Продам свитчи
      Від SanKo_mn
      У зв'язку з переходом на ПОН звільняються комутатори.
      Маємо:
      Alkatel 6850U24X       2
      Alkatel OS 6250-24 M      8
      D-LINK DES - 1210-28      1
      D-LINK DES - 1228       10
      D-LINK DES 1210-10       1
      D-LINK DGS - 1210-12 TS\ME     2
      TP-LINK - T 1500-28 TC      1
      TP-LINK - TL SL 2218 WEB      1
      HUAWEI - S2403TP -ЕU    1
      DELL - 3548    1
      TP-LINK TL-SL2210WEB    3
      D-LINK DES 3120-24SC    1
      D-LINK DES 1100-26   1
      HUAWEI - S2326TP    2
       
      Кількість і моделі весь ча змінюються - бо знімаються чергові)))
       
      Пишіть в особисті, що цікаво - за кількість і вартість будемо домовлятися)
    • Костопашка
      Куплю D-link DGS-3000-28SC
      Від Костопашка
      Куплю D-link DGS-3000-28SC новые или бу.
    • tadesky
      Продам комутатори D-Link, Edge-core, модулі SFP
      Від tadesky
      Вітаю, 

      Маємо в наявності на продаж наступні позиції: 
       
      1. DES-3018 - 10 шт,  300 грн. 
      2. DES-3026 - 170 шт,  400 грн. 
      3. DES-3200-28 - 90 шт, 2200 грн. 
      4. DES-3526 - 150 шт, 1400 грн. 
      5. DGS-3100-24TG - 30 шт, 4000 грн. 
      6. ES3510 MA - 50 шт, 1200 грн. 
      7. ES3528М V2 - 50 шт, 2000 грн. 
      8. Edge-core ECS4120-28Fv2 - 10 шт, 12000 грн. 
      9. DGS-3420-28SC - 4 шт, 17500 грн. 
         
      10. Модуль оптичний SFP-2SM-0220, SEP 1G - 200 шт, 150 грн. 
      11. Модуль оптичний SFP-WDM-SM-0220BD-LC, SFP 1G - 31 шт, 250 грн. 
      12. Модуль оптичний SFP-WDM-SM-0220BD-LC, SFP 1G - 18 шт, 250 грн. 
      13. DEM-310 GT - 40 шт, 150 грн. 

      Ціни вказані на роздріб, на об'ємі можна домовлятись. 
      Перед відправкою обладнання тестуємо, скидаємо в дефолт, надійно пакуємо. Комплектація на більшу частину позиції з вухами та кабелем живлення. 

      Запити та пропозиції прохання в приватні повідомлення. 
        
    • NETOS
      Продам D-Link DGS-3120-24TC б/у
      Від NETOS
      В продажі D-Link DGS-3120-24TC   б/у
       
      Комплекті комутатор, кабель живлення, вуха.
      Не гудить, зкинутий на завод. 
       
      Ціна 5000 грн. 
       
       



×
×
  • Створити нове...