DGS-1100-06/ME и DHCP

mstsc · 29 вересня, 2015

Вопрос весьма тривиален, однако интересно получить на него ответ:

DGS-1100-06/ME использую на уровне доступа. Авторизация абонентов по средствам option 82. В свиче нет функции dhcp snooping. однако ACL функции весьма развёрнуты. Как, на ваш взгляд, правильно организовать защиту от диких DHCP и в общем безопасность портов? Между собой абоненты общаться не должны.

logic · 29 вересня, 2015

на сайте длинка есть пример настройки АЦЛ

mstsc · 29 вересня, 2015

на сайте длинка есть пример настройки АЦЛ

Пример подходит для свичей, в которых ACL не разделена на ACL и CPU ACL.

Да и не только в DHCP проблема. Интересен грамотный подход к вопросу.

logic · 29 вересня, 2015

нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

Відредаговано 29 вересня, 2015 logic

mstsc · 29 вересня, 2015

нужно два правила ... в одну сторону пропускало DHCP а назад нет .... на сайте посмотрите какие порты закрыть и все... в чем проблема?

В том, что в старших моделях логичнее использовать встроенную функцию config filter dhcp_server. Быть может и для 1100 ACL не лучший вариант.

mstsc · 29 вересня, 2015

Быть может контроль портов возможно делегировать свичам L3 которые стоят над DGS-1100-06?

serf · 1 жовтня, 2015

снупинг есть на этом свиче, прошейте новую прошивку.

Jeko · 2 жовтня, 2015

Для DGS-1100-06/ME и DGS-1100-10/ME можно резать левые dhcp такими acl

create access_profile ip udp src_port_mask 0xffff profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port <порты доступа> deny

config access_profile profile_id 1 add access_id 2 ip udp src_port 68 port <порты доступа> permit

create access_profile ip udp dst_port_mask 0xffff profile_id 2

config access_profile profile_id 2 add access_id 1 ip udp dst_port 68 port <порты доступа> deny

config access_profile profile_id 2 add access_id 2 ip udp dst_port 67 port <порты доступа> permit

Delacrua · 2 жовтня, 2015

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny

mstsc · 10 жовтня, 2015

снуппинг никто не добавлял в последних прошивках, dhcp фильтруется так

create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny
create cpu_access_profile ip udp src_port_mask 0xffff profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 1-5 deny

Первый ответ с пониманием сути дела. Спасибо.

logic · 10 жовтня, 2015

На сайте длинка не так само написано,

Или западло было искать?

Відредаговано 10 жовтня, 2015 logic

mstsc · 10 жовтня, 2015

На сайте длинка не так само написано,

Или западло было искать?

Не засоряйте форум, займите чем-нибудь руки.

mstsc · 30 серпня, 2016

Год прошел, DGS-1100-06/ME в штате около сотни, хорошие, качественные коммутаторы. В сезон гроз не потерял ни одного порта на этих девайсах, хотя тут нужно еще отдать должное монтажной команде.

Основные моменты на которые стоит обратить внимание:

На старой прошивке в устройстве не работает ACL!!!

После обновление прошивки с дикими DHCP поможет справиться такая ACL:

create access_profile ip udp src_port_mask 0xffff profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 1-5 deny

На некоторых прошивках устройство очень редко но зависает. На данный момент последняя прошивка DGS-1100-06-A1-1-03-B029. Такой проблемы не наблюдал.

В устройствах ОЧЕНЬ легко отлетают радиаторы от чипов. (они на клею) Даже лёгкий удар и внутри корпуса погремушка. Будьте осторожны, не включайте устройство с оторванным радиатором, оно или перегреется или радиатор что либо закоротит.

В новых прошивках усложняется настройка dhcp_local_relay, требуется указывать диапазон портов на которых будет происходить выдача адресов:

После обновления прошивки со старой на более новую свич перестанет выдавать адреса пока не добавить этот параметр.

config dhcp_local_relay port 1-5 state enable

В устройстве можно отключать кнопку сброса, однако других вариантов "вспомнить" пароль кроме сервисного центра не останется.

Функция traffic segmentation очень умело изолирует порты друг от друга даже если они находятся в одном vlan'e.

К примеру 6 порт UP-Link:

config traffic_segmentation 1-5 forward_list 6

В данном случае мы запрещаем общение всем с первого по пятый порт друг с другом и разрешаем доступ только к 6 порту, который позволяет нам выйти в сеть дальше.

Відредаговано 30 серпня, 2016 mstsc

Увійти

DGS-1100-06/ME и DHCP

Рекомендованные сообщения

mstsc

logic

mstsc

logic

mstsc

mstsc

serf

Jeko

Delacrua

mstsc

logic

mstsc

mstsc

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент

Продам D-Link DGS-1100-05PD 5xGE, (2xGE, 2xGE PoE, 1xGE PD), EasySmart 1 2 3

Продам комутатори Dlink DES , DGS / L2, L3 1 2 3 4 11

Продам Dgs 1210-28xs/me

Продам D link DGS 3620-28SC 1 2

Куплю D-Link DGS-1100-10/ME

Спільнота

Активність