mstsc Опубликовано: 29 сентября, 2015 Опубликовано: 29 сентября, 2015 Вопрос весьма тривиален, однако интересно получить на него ответ: DGS-1100-06/ME использую на уровне доступа. Авторизация абонентов по средствам option 82. В свиче нет функции dhcp snooping. однако ACL функции весьма развёрнуты. Как, на ваш взгляд, правильно организовать защиту от диких DHCP и в общем безопасность портов? Между собой абоненты общаться не должны.
logic Опубликовано: 29 сентября, 2015 Опубликовано: 29 сентября, 2015 на сайте длинка есть пример настройки АЦЛ
mstsc Опубликовано: 29 сентября, 2015 Автор Опубликовано: 29 сентября, 2015 на сайте длинка есть пример настройки АЦЛ Пример подходит для свичей, в которых ACL не разделена на ACL и CPU ACL. Да и не только в DHCP проблема. Интересен грамотный подход к вопросу.
logic Опубликовано: 29 сентября, 2015 Опубликовано: 29 сентября, 2015 (изменено) нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема? Изменено 29 сентября, 2015 пользователем logic
mstsc Опубликовано: 29 сентября, 2015 Автор Опубликовано: 29 сентября, 2015 нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема? В том, что в старших моделях логичнее использовать встроенную функцию config filter dhcp_server. Быть может и для 1100 ACL не лучший вариант.
mstsc Опубликовано: 29 сентября, 2015 Автор Опубликовано: 29 сентября, 2015 Быть может контроль портов возможно делегировать свичам L3 которые стоят над DGS-1100-06?
serf Опубликовано: 1 октября, 2015 Опубликовано: 1 октября, 2015 снупинг есть на этом свиче, прошейте новую прошивку.
Jeko Опубликовано: 2 октября, 2015 Опубликовано: 2 октября, 2015 Для DGS-1100-06/ME и DGS-1100-10/ME можно резать левые dhcp такими acl create access_profile ip udp src_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port <порты доступа> deny config access_profile profile_id 1 add access_id 2 ip udp src_port 68 port <порты доступа> permit create access_profile ip udp dst_port_mask 0xffff profile_id 2 config access_profile profile_id 2 add access_id 1 ip udp dst_port 68 port <порты доступа> deny config access_profile profile_id 2 add access_id 2 ip udp dst_port 67 port <порты доступа> permit
Delacrua Опубликовано: 2 октября, 2015 Опубликовано: 2 октября, 2015 снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так create access_profile ip udp src_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1 config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
mstsc Опубликовано: 10 октября, 2015 Автор Опубликовано: 10 октября, 2015 снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так create access_profile ip udp src_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1 config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny Первый ответ с пониманием сути дела. Спасибо.
logic Опубликовано: 10 октября, 2015 Опубликовано: 10 октября, 2015 (изменено) На сайте длинка не так само написано, Или западло было искать? Изменено 10 октября, 2015 пользователем logic
mstsc Опубликовано: 10 октября, 2015 Автор Опубликовано: 10 октября, 2015 На сайте длинка не так само написано, Или западло было искать? Не засоряйте форум, займите чем-нибудь руки.
mstsc Опубликовано: 30 августа, 2016 Автор Опубликовано: 30 августа, 2016 (изменено) Год прошел, DGS-1100-06/ME в штате около сотни, хорошие, качественные коммутаторы. В сезон гроз не потерял ни одного порта на этих девайсах, хотя тут нужно еще отдать должное монтажной команде. Основные моменты на которые стоит обратить внимание: На старой прошивке в устройстве не работает ACL!!! После обновление прошивки с дикими DHCP поможет справиться такая ACL: create access_profile ip udp src_port_mask 0xffff profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 1-5 deny На некоторых прошивках устройство очень редко но зависает. На данный момент последняя прошивка DGS-1100-06-A1-1-03-B029. Такой проблемы не наблюдал. В устройствах ОЧЕНЬ легко отлетают радиаторы от чипов. (они на клею) Даже лёгкий удар и внутри корпуса погремушка. Будьте осторожны, не включайте устройство с оторванным радиатором, оно или перегреется или радиатор что либо закоротит. В новых прошивках усложняется настройка dhcp_local_relay, требуется указывать диапазон портов на которых будет происходить выдача адресов: После обновления прошивки со старой на более новую свич перестанет выдавать адреса пока не добавить этот параметр. config dhcp_local_relay port 1-5 state enable В устройстве можно отключать кнопку сброса, однако других вариантов "вспомнить" пароль кроме сервисного центра не останется. Функция traffic segmentation очень умело изолирует порты друг от друга даже если они находятся в одном vlan'e. К примеру 6 порт UP-Link: config traffic_segmentation 1-5 forward_list 6 В данном случае мы запрещаем общение всем с первого по пятый порт друг с другом и разрешаем доступ только к 6 порту, который позволяет нам выйти в сеть дальше. Изменено 30 августа, 2016 пользователем mstsc
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас