Элтекс

Добрый день, разработчикам.

Интересует вопрос, как запретить dhcp со стороны клиента на клиентском порту. Т.е. к примеру порт Gi 0/1 у нас клиентский, как настроить конфиг, чтобы от клиента dhcp трафик не проходил по этому порту?

avelnars, думаю access-list вам поможет на этом порту, подробности можно найти в Базе знаний и доках

Добрый день!
ip access-list extended dhcp
deny udp any any any 67-68
permit udp any any any any

День добрый!

попробовал данные правила, от маршрутизаторов "криво" подключенных к сети перестает получать, только от нашего сервера.
Возникла проблема, что сеть у клиента вообще прекращает работать, пока не отключишь правило.

Такое впечатление, что по умолчанию, при включении acl все то, что не разрешено явно - отбрасывается

правилами выше запрещаешь 67-68 порт и разрешаешь остальной UDP, а все остальное не идет

попробовал вот так

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any

что ,собственно, запрещает принимать запросы по 67 порту и отвечать по 68, и разрешает любой трафик кроме указанного в "deny"

И применяем это правило ко всем клиентским портам, кроме аплинков

interface range FastEthernet 1/0/1-24
service-acl input dhcp

и все стало замечательно.

P.S Это решает проблемы с глючными маршрутизаторами, которые через wan могут так же раздавать ip всем кому не лень. А вообще лучше техникам или монтажникам, которые подрубили роутер не в нужный порт - руки-то обломать нужно

Здравствуйте,

permit ip any any any any

Да, конечно, же там должно быть ip. Ошибся

А как это сделать в интерфейсе? И подскажите, где настроить изоляцию портов, чтобы порты не обшались между собою, а только видели приход

senya, в interface vlan имеете ввиду?
Настройка изоляции http://eltex.nsk.ru/upload/iblock/8e2/m ... 1.1.44.pdf - Таблица 5.38 – Команды режима конфигурирования интерфейса Ethernet

switchport protected-port
switchport protected interface

C 1.1.44 доступно при настройке acl ipv4 указывать в правилах permit/deny идентификатор vlan

Александр Селезнев писал(а):senya, в interface vlan имеете ввиду?
Настройка изоляции http://eltex.nsk.ru/upload/iblock/8e2/m ... 1.1.44.pdf - Таблица 5.38 – Команды режима конфигурирования интерфейса Ethernet

switchport protected-port
switchport protected interface

А разве через интерфейс этого не сделать?

А разве через интерфейс этого не сделать?

Не понял вопроса. На interface vlan применить команду service-acl input пока нельзя. Команда доступна только на interface {gi,fa}

А разве не достаточно включить dhcp snooping на нужные вланы и сделать аплинк трастовым портом?

DHCP snooping на порту доступа не заблокирует пакеты DHCP. Первоначально обсуждение было на эту тему.
DHCP snooping сделает, так чтобы запрос от untrust ports ушел только в trust ports в vlan

Александр Селезнев писал(а):DHCP snooping на порту доступа не заблокирует пакеты DHCP. Первоначально обсуждение было на эту тему.
DHCP snooping сделает, так чтобы запрос от untrust ports ушел только в trust ports в vlan

А разве это сообщение не означает, что он откинул DHCP пакет?

Означает, конечно, что в таблице dhcp snooping уже присутствует запись для этого порта. В этом случае пакет не прошедший верификацию будет отброшен. Если записи нет, то пакет пройдет в trust порт, если пакет проходит под верификацию MAC, то такой пакет также пройдет.
ACL запретит любой пакет dhcp