MES2424 DHCP-фильтрация

[kaliuga]

Добрый день. Подскажите, как на вышеуказанном маршрутизаторе решить задачу защиты от ''левых" dhcp. Порты 1-23 уходят аксесом конечным клиентам с vlan 10 в котором идёт раздача своих ''правильных" dhcp. Как защитить клиентов от получения левых dhcp (например если один из клиентов воткнул провод в LAN-порт своего WiFi-роутера)?

[Евгений Т]

Здравствуйте.

Для этой цели нужно настроить функционал dhcp snooping
ip dhcp snooping
ip dhcp snooping vlan 1
!
interface gigabitethernet 0/25 (uplink)
no shutdown
port-security-state trusted
set port-role uplink

[kaliuga]

Здравствуйте.

Для этой цели нужно настроить функционал dhcp snooping
ip dhcp snooping
ip dhcp snooping vlan 1
!
interface gigabitethernet 0/25 (uplink)
no shutdown
port-security-state trusted
set port-role uplink

Скажите, это убережёт условного пользователя на порту 1 от получения левых dhcp от пользователя на порту 2?
То есть клиенты смогут ''принимать" правильные dhcp, но не смогут транслировать в общую сеть свои?

[Евгений Т]

После этой настройки порты делятся на доверенные и недоверенный. Клиентский dhcp broadcast будет коммутироваться только на доверенный порт (в сторону сервера). dhcp offer/ack с недоверенных портов будут дропаться.

[kaliuga]

ip dhcp snooping vlan 1

Только, наверное, не vlan 1, а vlan 10 для моего конкретного случая. Так действительно новые dhcp от Wi-Fi роутера с порта 2 перестают пролезать условному клиенту на порт 1. Правда если dhcp от Wi-Fi роутера уже был один раз получен, то всё равно пролезает.

[Евгений Т]

Влан 1 привёл для примера.

Правда если dhcp от Wi-Fi роутера уже был один раз получен, то всё равно пролезает.

Закономерно. Согласно стандарту через 0,5 lease time запускается renewal timer и dhcp request отправляется юникастовый. Поэтому после настройки функционала сначала нужно сбросить аренду на уже подключенных клиентах. И больше никогда после этого они не смогут получить адрес с недоверенного порта.

[Garri]

А зафильтровать 68/udp на портах доступа ?