DGS-1100-06/ME и DHCP

mstsc · 2015-09-29 08:14:52

Вопрос весьма тривиален, однако интересно получить на него ответ:

DGS-1100-06/ME использую на уровне доступа. Авторизация абонентов по средствам option 82. В свиче нет функции dhcp snooping. однако ACL функции весьма развёрнуты. Как, на ваш взгляд, правильно организовать защиту от диких DHCP и в общем безопасность портов? Между собой абоненты общаться не должны.

logic · 2015-09-29 08:18:14

на сайте длинка есть пример настройки АЦЛ

mstsc · 2015-09-29 08:25:00

на сайте длинка есть пример настройки АЦЛ

Пример подходит для свичей, в которых ACL не разделена на ACL и CPU ACL.

Да и не только в DHCP проблема. Интересен грамотный подход к вопросу.

logic · 2015-09-29 08:28:04

нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

Відредаговано 2015-09-29 08:28:16 logic

mstsc · 2015-09-29 08:35:07

нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

В том, что в старших моделях логичнее использовать встроенную функцию config filter dhcp_server. Быть может и для 1100 ACL не лучший вариант.

mstsc · 2015-09-29 14:00:26

Быть может контроль портов возможно делегировать свичам L3 которые стоят над DGS-1100-06?

serf · 2015-10-01 21:51:28

снупинг есть на этом свиче, прошейте новую прошивку.

Jeko · 2015-10-02 07:46:55

Для DGS-1100-06/ME и DGS-1100-10/ME можно резать левые dhcp такими acl

create access_profile ip udp src_port_mask 0xffff profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port <порты доступа> deny

config access_profile profile_id 1 add access_id 2 ip udp src_port 68 port <порты доступа> permit

create access_profile ip udp dst_port_mask 0xffff profile_id 2

config access_profile profile_id 2 add access_id 1 ip udp dst_port 68 port <порты доступа> deny

config access_profile profile_id 2 add access_id 2 ip udp dst_port 67 port <порты доступа> permit

Delacrua · 2015-10-02 07:49:12

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny

mstsc · 2015-10-10 18:57:06

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny

Первый ответ с пониманием сути дела. Спасибо.

logic · 2015-10-10 20:06:44

На сайте длинка не так само написано,

Или западло было искать?

Відредаговано 2015-10-10 20:07:18 logic

mstsc · 2015-10-10 20:56:02

На сайте длинка не так само написано,

Или западло было искать?

Не засоряйте форум, займите чем-нибудь руки.

mstsc · 2016-08-30 20:28:52

Год прошел, DGS-1100-06/ME в штате около сотни, хорошие, качественные коммутаторы. В сезон гроз не потерял ни одного порта на этих девайсах, хотя тут нужно еще отдать должное монтажной команде.

Основные моменты на которые стоит обратить внимание:

На старой прошивке в устройстве не работает ACL!!!

После обновление прошивки с дикими DHCP поможет справиться такая ACL:

create access_profile ip udp src_port_mask 0xffff profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 1-5 deny

На некоторых прошивках устройство очень редко но зависает. На данный момент последняя прошивка DGS-1100-06-A1-1-03-B029. Такой проблемы не наблюдал.

В устройствах ОЧЕНЬ легко отлетают радиаторы от чипов. (они на клею) Даже лёгкий удар и внутри корпуса погремушка. Будьте осторожны, не включайте устройство с оторванным радиатором, оно или перегреется или радиатор что либо закоротит.

В новых прошивках усложняется настройка dhcp_local_relay, требуется указывать диапазон портов на которых будет происходить выдача адресов:

После обновления прошивки со старой на более новую свич перестанет выдавать адреса пока не добавить этот параметр.

config dhcp_local_relay port 1-5 state enable

В устройстве можно отключать кнопку сброса, однако других вариантов "вспомнить" пароль кроме сервисного центра не останется.

Функция traffic segmentation очень умело изолирует порты друг от друга даже если они находятся в одном vlan'e.

К примеру 6 порт UP-Link:

config traffic_segmentation 1-5 forward_list 6

В данном случае мы запрещаем общение всем с первого по пятый порт друг с другом и разрешаем доступ только к 6 порту, который позволяет нам выйти в сеть дальше.

Відредаговано 2016-08-30 20:30:47 mstsc

Увійти

DGS-1100-06/ME и DHCP

Рекомендованные сообщения

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

logic 522

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

logic 522

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

serf 9

Ссылка на сообщение

Поделиться на других сайтах

Jeko 8

Ссылка на сообщение

Поделиться на других сайтах

Delacrua 0

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

logic 522

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

mstsc 7

Ссылка на сообщение

Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент