Запретить dhcp от клиента

[avelnars]

Добрый день, разработчикам.

Интересует вопрос, как запретить dhcp со стороны клиента на клиентском порту. Т.е. к примеру порт Gi 0/1 у нас клиентский, как настроить конфиг, чтобы от клиента dhcp трафик не проходил по этому порту?

[Sansanich]

avelnars, думаю access-list вам поможет на этом порту, подробности можно найти в Базе знаний и доках

[Александр Селезнев]

Добрый день!
ip access-list extended dhcp
deny udp any any any 67-68
permit udp any any any any

[Xaoc_nsk]

День добрый!

попробовал данные правила, от маршрутизаторов "криво" подключенных к сети перестает получать, только от нашего сервера.
Возникла проблема, что сеть у клиента вообще прекращает работать, пока не отключишь правило.

[Xaoc_nsk]

Такое впечатление, что по умолчанию, при включении acl все то, что не разрешено явно - отбрасывается

правилами выше запрещаешь 67-68 порт и разрешаешь остальной UDP, а все остальное не идет

попробовал вот так

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any

что ,собственно, запрещает принимать запросы по 67 порту и отвечать по 68, и разрешает любой трафик кроме указанного в "deny"

И применяем это правило ко всем клиентским портам, кроме аплинков

interface range FastEthernet 1/0/1-24
service-acl input dhcp

и все стало замечательно.

P.S Это решает проблемы с глючными маршрутизаторами, которые через wan могут так же раздавать ip всем кому не лень. А вообще лучше техникам или монтажникам, которые подрубили роутер не в нужный порт - руки-то обломать нужно

[Александр Селезнев]

Здравствуйте,

permit ip any any any any

Да, конечно, же там должно быть ip. Ошибся

[senya]

А как это сделать в интерфейсе? И подскажите, где настроить изоляцию портов, чтобы порты не обшались между собою, а только видели приход

[Александр Селезнев]

senya, в interface vlan имеете ввиду?
Настройка изоляции http://eltex.nsk.ru/upload/iblock/8e2/m ... 1.1.44.pdf - Таблица 5.38 – Команды режима конфигурирования интерфейса Ethernet

switchport protected-port
switchport protected interface

[Александр Селезнев]

C 1.1.44 доступно при настройке acl ipv4 указывать в правилах permit/deny идентификатор vlan

[senya]

senya, в interface vlan имеете ввиду?
Настройка изоляции http://eltex.nsk.ru/upload/iblock/8e2/m ... 1.1.44.pdf - Таблица 5.38 – Команды режима конфигурирования интерфейса Ethernet

switchport protected-port
switchport protected interface

А разве через интерфейс этого не сделать?

[Александр Селезнев]

А разве через интерфейс этого не сделать?

Не понял вопроса. На interface vlan применить команду service-acl input пока нельзя. Команда доступна только на interface {gi,fa}

[Firsim]

А разве не достаточно включить dhcp snooping на нужные вланы и сделать аплинк трастовым портом?

Код: Выделить всё

ip dhcp snooping
ip dhcp snooping vlan usr_vlan_1
ip dhcp snooping vlan usr_vlan_2

И на gi1/0/1
ip dhcp snooping trust


[Александр Селезнев]

DHCP snooping на порту доступа не заблокирует пакеты DHCP. Первоначально обсуждение было на эту тему.
DHCP snooping сделает, так чтобы запрос от untrust ports ушел только в trust ports в vlan

[Firsim]

DHCP snooping на порту доступа не заблокирует пакеты DHCP. Первоначально обсуждение было на эту тему.
DHCP snooping сделает, так чтобы запрос от untrust ports ушел только в trust ports в vlan

А разве это сообщение не означает, что он откинул DHCP пакет?

Код: Выделить всё

:%DHCPSNOOP-E-HDRMAC: DHCP packet mac addresses verification problem - packet dropped: vlan - usr_vlan, port - fa1/0/17, mac source address - ac:22:0b:14:XX:XX, mac dest address - ff:ff:ff:ff:ff:ff, hw client address - 16:fd:52:7a:XX:XX, error - Source MAC address is not equal to client hardware address         

[Александр Селезнев]

Означает, конечно, что в таблице dhcp snooping уже присутствует запись для этого порта. В этом случае пакет не прошедший верификацию будет отброшен. Если записи нет, то пакет пройдет в trust порт, если пакет проходит под верификацию MAC, то такой пакет также пройдет.
ACL запретит любой пакет dhcp