О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
MES2424 DHCP-фильтрация
MES2424 DHCP-фильтрация
Добрый день. Подскажите, как на вышеуказанном маршрутизаторе решить задачу защиты от ''левых" dhcp. Порты 1-23 уходят аксесом конечным клиентам с vlan 10 в котором идёт раздача своих ''правильных" dhcp. Как защитить клиентов от получения левых dhcp (например если один из клиентов воткнул провод в LAN-порт своего WiFi-роутера)?
Re: MES2424 DHCP-фильтрация
Здравствуйте.
Для этой цели нужно настроить функционал dhcp snooping
ip dhcp snooping
ip dhcp snooping vlan 1
!
interface gigabitethernet 0/25 (uplink)
no shutdown
port-security-state trusted
set port-role uplink
Для этой цели нужно настроить функционал dhcp snooping
ip dhcp snooping
ip dhcp snooping vlan 1
!
interface gigabitethernet 0/25 (uplink)
no shutdown
port-security-state trusted
set port-role uplink
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: MES2424 DHCP-фильтрация
Евгений Т писал(а):Здравствуйте.
Для этой цели нужно настроить функционал dhcp snooping
ip dhcp snooping
ip dhcp snooping vlan 1
!
interface gigabitethernet 0/25 (uplink)
no shutdown
port-security-state trusted
set port-role uplink
Скажите, это убережёт условного пользователя на порту 1 от получения левых dhcp от пользователя на порту 2?
То есть клиенты смогут ''принимать" правильные dhcp, но не смогут транслировать в общую сеть свои?
Re: MES2424 DHCP-фильтрация
После этой настройки порты делятся на доверенные и недоверенный. Клиентский dhcp broadcast будет коммутироваться только на доверенный порт (в сторону сервера). dhcp offer/ack с недоверенных портов будут дропаться.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: MES2424 DHCP-фильтрация
Евгений Т писал(а):ip dhcp snooping vlan 1
Только, наверное, не vlan 1, а vlan 10 для моего конкретного случая. Так действительно новые dhcp от Wi-Fi роутера с порта 2 перестают пролезать условному клиенту на порт 1. Правда если dhcp от Wi-Fi роутера уже был один раз получен, то всё равно пролезает.
Re: MES2424 DHCP-фильтрация
Влан 1 привёл для примера.
Закономерно. Согласно стандарту через 0,5 lease time запускается renewal timer и dhcp request отправляется юникастовый. Поэтому после настройки функционала сначала нужно сбросить аренду на уже подключенных клиентах. И больше никогда после этого они не смогут получить адрес с недоверенного порта.
Правда если dhcp от Wi-Fi роутера уже был один раз получен, то всё равно пролезает.
Закономерно. Согласно стандарту через 0,5 lease time запускается renewal timer и dhcp request отправляется юникастовый. Поэтому после настройки функционала сначала нужно сбросить аренду на уже подключенных клиентах. И больше никогда после этого они не смогут получить адрес с недоверенного порта.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: MES2424 DHCP-фильтрация
А зафильтровать 68/udp на портах доступа ?
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей