фильтр dhcp на BDCOM 3310B

[WireShark 0]

Задача отфильтровать поддельные dhcp сервера как в пределах одного глаза так и между глазами на BDCOM 3310B.

Подскажите пожалуйста самый "правильный" метод, opt82 если что на данный момент не используется.

[Ромка 567]

vlan-per-user qnq

[martin 170]

дык это..

 

switchport protected

[WireShark 0]

Спасибо, vlan-per-user очевиден, но перекручивать существующую схему по сумме причин не хотелось бы.

switchport protected - некоторые привередливые юзеры очень хотят чтобы у них локалка между ону-шками

бегала, при этом vpn-ы и т.д. строить не хотят.

[l1ght 377]

Спасибо, vlan-per-user очевиден, но перекручивать существующую схему по сумме причин не хотелось бы.

switchport protected - некоторые привередливые юзеры очень хотят чтобы у них локалка между ону-шками

бегала, при этом vpn-ы и т.д. строить не хотят.

vlan per user + proxy-arp тогда

[Tavr 4]

ip dhcp-relay snooping
ip dhcp-relay snooping vlan

на порту с DHCP

dhcp snooping trust

[WireShark 0]

сейчас есть вот такая ACL-ка:

 

 ip access-list extended EPON1
 permit udp any eq 68 any
 deny   udp any eq 67 any
 permit ip x.x.x.x 255.255.255.0 any
 deny   ip any an

 

правда, как показала практика, помогла она не очень.

[martin 170]

ip dhcp-relay snooping vlan

 

работает только для релея, по умолчанию снупит все вланы

[Berkut 89]

а если так:

 

http://nag.ru/articles/article/26698/bdcom-p3310b-v-ipoe-seti-so-shemoy-s-vlan.html

ip access-list extended subs.filter
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 445
deny udp any any eq 68
permit ip any any

 

interface EPON0/1

ip access-group subs.filter

 

[Siracusa 0]

ip dhcp-relay snooping vlan

 

работает только для релея, по умолчанию снупит все вланы

 

на порту с DHCP

 

dhcp snooping trust

 

А как перейти в режим "не по умолчанию"? 

 

+ он все-равно что-то snoop'ит, даже если на порту trust

 

Приведу пример:

Oct 13 16:50:09 DHCPR: receive l2 packet from vlan 13, diID: 5
Oct 13 16:50:09 DHCPR: find an old xid configuration(xid 3aef48f6).
Oct 13 16:50:09 DHCPR: DHCP packet len 369
Oct 13 16:50:09 DHCPR: dhcpr_snooping_process DHCP request---pktlen=369, vlanid=13, diID=5
Oct 13 16:50:09 DHCPR: DHCP Request msg type is 1
Oct 13 16:50:09 DHCPR: dhcpr_snooping_option82_request:get pkt from interface 5 vlan 13
Oct 13 16:50:09 DHCPR: the packet has been recorded and xid is 3aef48f6.
Oct 13 16:50:09 DHCPR: dhcp option 82: dhcp request in process...
Oct 13 16:50:09 DHCPR: llid_packetsave: 0.0.0.0 <-- 89.c9.71.1b
Oct 13 16:50:09 DHCPR: llid_packetsave=0x89c9711b
Oct 13 16:50:09 DHCPR: dhcpr_snooping_option82_request line=1365, EPON_DIID_GET failed, LLID port=0x89c9711b
Oct 13 16:50:09 DHCPR: packet length is 415(87c0fefc).
Oct 13 16:50:09 DHCPR: dhcpr to l2: diid=5,vlanid=13
Oct 13 16:50:09 DHCPR: update xid(3aef48f6) pkt config.
Oct 13 16:50:09 DHCPR: packet is for Layer2 forward and submit to Layer3
Oct 13 16:50:09 DHCPR: send packet continue

olt-test#sh ip dhcp-relay snooping

ip dhcp-relay snooping
ip dhcp-relay snooping vlan  2,50
ip arp inspection vlan  2,13,50
ip verify source vlan  2,13,50
DHCP Snooping trust interface:
   GigaEthernet0/3

   GigaEthernet0/1

diID: 5, насколько я понимаю, это GigaEthernet0/1 (у него ifIndex = 5), т.к. GigaEthernet0/5 у меня отключен:

olt-test#sh interface gigaEthernet 0/5
GigaEthernet0/5 is administratively down, line protocol is down
  Ifindex is 1, unique port number is 5

Версия прошивки:

olt-test#sh version
BDCOM(tm) P3310B Software, Version 10.1.0B Build 25281
Copyright by Shanghai Baud Data Communication CO. LTD.
Compiled: 2015-3-19 13:15:23 by SYS_25281, Image text-base: 0x80008000