Запретить dhcp от клиента

[senya]

senya, в interface vlan имеете ввиду?
Настройка изоляции http://eltex.nsk.ru/upload/iblock/8e2/m ... 1.1.44.pdf - Таблица 5.38 – Команды режима конфигурирования интерфейса Ethernet

switchport protected-port
switchport protected interface

Ну никак не могу найти 5.38

Еще вопрос: в интерфейсе нельзя включить обнаружение петель, только через консоль?

[Александр Селезнев]

Настройка из cli изоляции

Код: Выделить всё

console(config)#interface GigabitEthernet 0/1
console(config-if)#switchport protected
  protected            Private Edge Vlan
  protected-port       isolate layer 2 traffic from other protected ports


в интерфейсе нельзя включить обнаружение петель, только через консоль?

Не понятен вопрос

[senya]

Где в веб интерфейсе включается обнаружение петли?

[Александр Селезнев]

в вебе не включается. Только через cli

[senya]

Правильно ли я включил ащиту от dhcp раздачи? 28 порт - аплинк

ip access-list extended dhcp
deny udp any any any 1-27
permit ip any any any any

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any
interface range gigabitethernet 1/0/1-27
service-acl input dhcp


Что это может значить?

00:19:db:df:d8:b905-Mar-2016 19:10:54 %BRG_MACNTFY-I-MAC_FLAPPING: Host 00:19:db:df:d8:b9 in vlan 802 is flapping between port gi1/0/11 and port gi1/0/1

[Евгений Т]

Здравствуйте.

Правильно ли я включил ащиту от dhcp раздачи? 28 порт - аплинк

А почему вы в примере указали 2 access-list с одним названием? Если эти команды были введены последовательно, то access-list создан не верно.
Покажите
sh access-lists

Что это может значить?
00:19:db:df:d8:b905-Mar-2016 19:10:54 %BRG_MACNTFY-I-MAC_FLAPPING: Host 00:19:db:df:d8:b9 in vlan 802 is flapping between port gi1/0/11 and port gi1/0/1

Это флаппинг мака. Указанный в логе мак приходит влан 802 с портов gi 0/11 и gi 0/1.
Это не нормальное поведение на сети.

[senya]

Здравствуйте.

Правильно ли я включил ащиту от dhcp раздачи? 28 порт - аплинк

А почему вы в примере указали 2 access-list с одним названием? Если эти команды были введены последовательно, то access-list создан не верно.
Покажите
sh access-lists

Скажите, как правильно сделать? Удалил все правила, хочу заново создать

[Евгений Т]

Для запрета выдачи адреса по dhcp с абонентских портов достаточно ввести

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any
interface range gigabitethernet 1/0/1-27
service-acl input dhcp

Ну или как вариант можно просто настроить dhcp snooping и доверенный порт для него.

[senya]

Для запрета выдачи адреса по dhcp с абонентских портов достаточно ввести

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any
interface range gigabitethernet 1/0/1-27
service-acl input dhcp

Ну или как вариант можно просто настроить dhcp snooping и доверенный порт для него.

На 1124 сделал так

ip access-list extended dhcp
deny udp any bootps any bootpc
permit ip any any any any
interface range fastethernet 1/0/1-24
service-acl input dhcp

Но мне еще надо добавить туда гигабитные интерфейсы. Как это сделать?
interface range gigabitethernet 1/0/1-3

[Евгений Т]

Да

interface range gigabitethernet 1/0/1-3
service-acl input dhcp

[senya]

Как настроить dhcp snooping для нескольких вланов? Писать вланы через пробел?

ip dhcp snooping
ip dhcp snooping vlan 1517
interface gigabitethernet 1/0/28
ip dhcp snooping trust

[Александр Селезнев]

Как настроить dhcp snooping для нескольких вланов?

Писать дипазон и перечислять нельзя, только

Код: Выделить всё

console(config)#ip dhcp snooping vlan 10
console(config)#ip dhcp snooping vlan 11
console(config)#ip dhcp snooping vlan 12
 sh run
 ........
 ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping vlan 11
ip dhcp snooping vlan 12


[pod]

А нету ли функционала на MES1124 который при получении на определенном порту пакета от dhcp сервера выключал этот порт? Например такое есть на foxgate - в конфиге порта пишем ip dhcp snooping action shutdown и если абон включил приходящий кабель в неправильный порт роутера то порт отключается. Очень хотелось бы увидеть подобную возможность на Элтексе

[Александр Селезнев]

Pod, этот функционал можно сделать через ACL запретить необходимые пакеты от клиента и на это правило повесить действие disable-port.

Код: Выделить всё

deny  udp any any any bootpc  disable-port


[pod]

спасибо! таким способом работает