Запретить dhcp в локальной сети

Martyn911

Постоялец
Регистрация
21 Авг 2010
Сообщения
129
Реакции
15
Здравствуйте!
Есть локальная сеть в такой связке: роутер->узловой свитч dell6024f->несколько колец свичей dell3324 и 3348, по этой сети раздается интернет через VPN, моя задача не выпускать в сеть адреса, которые раздают левые DHCP сервера кроме роутера(на linux, адреса вида 165.15.0.x), была идея добавить правило acl, но не знаю как правильно, да свитчей много, если настроить на узловом, то просто не выпущу с кольца, а это мне не подходит, кто может помочь, хотя бы натолкнуть на мыслю?
 
Посм. характеристики DELL3324 там же есть (если верить описанию)
"- Поддержка управления BootP/DHCP IP-адресами."
а значит должно быть что-то типа "DHCP Snooping".
И кстати, ты VLAN используешь?

в общем вот тебе "на мысл"
DHCP Snooping и VLAN :)
 
Посм. характеристики DELL3324 там же есть (если верить описанию)
"- Поддержка управления BootP/DHCP IP-адресами."
а значит должно быть что-то типа "DHCP Snooping".
И кстати, ты VLAN используешь?

в общем вот тебе "на мысл"
DHCP Snooping и VLAN :)
да VLAN, спасибо за советы, с DHCP Snooping буду разбираться завтра на работе
 
помогите разобраться с этим набором букв
Определение списков ACL, основанных на IP-адресах

Страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) позволяет администраторам сети определять списки управления доступом ACL, основанные на IP-адресах, и записи управления доступом ACE. Записи ACE служат фильтрами соответствия пакетов критерию пересылки. Как открыть страницу Add ACE to IP Based ACL:
  • Выберите пункты Switch > Network Security > IP based ACL. Откроется страница Add ACE to IP Based ACL.
screenbc.gif

Страница Add ACE to IP Based ACL
На странице Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) есть следующие поля:
  • ACL Name (Имя ACL) - содержит список пользовательских ACL.

  • New ACE Priority (Новый приоритет ACE) - определяет приоритет нового ACE. Записи ACE проверяются по схеме первого совпадения. Приоритет ACE определяет порядок этих записей в списке ACL.

  • Protocol (Протокол) - включает создание нового ACE, основанного на конкретном протоколе.

  • Source Port - показывает порт-источник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.

  • Destination Port (Порт-приемник) - показывает порт-приемник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.

  • Source IP Address (IP-адрес источника) - сопоставляет IP-адрес источника, на который адресованы пакеты, с конкретным ACE.

  • Wild Card Mask (Маски ввода) - показывает Маску ввода для IP-адреса источника. Подстановочные символы используются для замены всего IP-адреса или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198, а маска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.

  • Dest. IP Address (IP-адрес источника) - cопоставляет IP-адрес приемника, на который адресованы пакеты, с конкретным ACE.

  • Wild Card Mask (Маска ввода) - показывает маску ввода для IP-адреса приемника. Подстановочные символы используются для замены всего IP-адреса приемника или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198, а маска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.

  • Match DSCP (Соответствие DSCP) - сопоставляет величину пакетов DSCP с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.

  • Match IP-Precedence (Соответствие приоритета IP) - сопоставляет приоритет IP-пакетов с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.

  • Action (Действие) - показывает действие передачи для нового ACE. Возможные значения поля:

    • Permit (Разрешить) - Пересылает пакеты, отвечающие критериям нового ACE.

    • Deny (Запретить) - отбрасывает пакеты, отвечающие критериям нового ACE.

    • Deny and Disable Port (Запретить и отключить порт) - отбрасывает пакет, отвечающий критериям нового ACE, и отключает порт, на который он был адресован. Порты активизируются вновь через настройку портов, см. раздел "Для просмотра ссылки Войди или Зарегистрируйся".
Добавление списков ACL, основанных на IP-адресах:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Нажмите кнопку Add (Добавить). Откроется страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
aces_asa.gif

Страница Add IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах)
  1. Определите поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.

  2. Нажмите кнопку Apply Changes (Принять изменения). Списки ACL, основанные на IP-адресах, будут определены. Если был определен новый приоритет записи ACE, он добавляется в новый список ACL.
Присвоение ACE списку ACL, основанному на IP-адресах:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Выберите в раскрывающемся списке ACL Name (Имя ACL) нужный ACL.

  3. Задайте значение поля New ACE Priority (Новый приоритет ACE).

  4. Определите поля ACE No., Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и/или Action.

  5. Нажмите кнопку Apply Changes (Принять изменения). Запись ACE будет присвоена списку ACL, основанному на IP-адресах.
Вывод записей ACE для указанных ACL:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах).
aces_asb.gif

Страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах)
Изменение записи ACE, основанной на IP-адресах:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Нажмите Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах).

  3. Измените поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.

  4. Нажмите кнопку Apply Changes (Принять изменения). Записи ACE, основанные на IP-адресах, будут изменены, а устройство обновлено.
Удаление списков ACL:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IP-адресах).

  3. Выберите ACL.

  4. Установите флажок Remove ACL (Удалить ACL).

  5. Нажмите кнопку Apply Changes (Принять изменения). Список ACL, основанный на IP-адресах, будет удален, а устройство обновлено.
Удаление записей ACE:
  1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

  2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IP-адресах).

  3. Выберите ACE.

  4. Установите флажок Remove (Удалить).

  5. Нажмите кнопку Apply Changes (Принять изменения). Запись ACE, основанная на IP-адресах, будет удалена, а устройство обновлено.
Назначение записей ACE, основанных на IP-адресах, для списков ACL с помощью команд консоли

В следующей таблице приведены команды консоли, присваивающие записи ACE, основанные на IP-адресах, спискам ACL, которые аналогичны действиям страницы Add ACE to IP Based ACL.

Команды консоли
Описание
ip access-list имя
Включает режим настройки списка доступа по IP-адресам.
permit {any | протокол} {any | {источник маска_ввода_источника}} {any | {приемник маска_ввода_приемника}} [dscp dscp номер | ip-precedence приоритет_ip_пакета]
Разрешает трафик, если соблюдены условия, определенные в операторе permit.
deny [disable-port] {any| protocol} {any | {источник маска_ввода_источника}} {any | {приемник маска_ввода_приемника}} [dscp dscp номер| ip-precedence приоритет_ip_пакета]
Запрещает трафик, если соблюдены условия, определенные в операторе deny.
Ниже приведен пример команд консоли:
Permit 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4
deny 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4

источник Для просмотра ссылки Войди или Зарегистрируйся

Задача:запретить раздачу адресов по сети dhcp серверами, кроме нужного 172.16.0.1 (диапазон 172.16.0.1-172.16.5.255)
 
Вот так выглядит ACL для Dlink DES 3526

# ACL
create access_profile ip udp src_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 11 ip udp src_port 68 port 1 deny
config access_profile profile_id 10 add access_id 12 ip udp src_port 68 port 2 deny
config access_profile profile_id 10 add access_id 13 ip udp src_port 68 port 3 deny
config access_profile profile_id 10 add access_id 14 ip udp src_port 68 port 4 deny
config access_profile profile_id 10 add access_id 15 ip udp src_port 68 port 5 deny
config access_profile profile_id 10 add access_id 16 ip udp src_port 68 port 6 deny
config access_profile profile_id 10 add access_id 17 ip udp src_port 68 port 7 deny
config access_profile profile_id 10 add access_id 18 ip udp src_port 68 port 8 deny
config access_profile profile_id 10 add access_id 19 ip udp src_port 68 port 9 deny
config access_profile profile_id 10 add access_id 20 ip udp src_port 68 port 10 deny
config access_profile profile_id 10 add access_id 21 ip udp src_port 68 port 11 deny
config access_profile profile_id 10 add access_id 22 ip udp src_port 68 port 12 deny
config access_profile profile_id 10 add access_id 23 ip udp src_port 68 port 13 deny
config access_profile profile_id 10 add access_id 24 ip udp src_port 68 port 14 deny
config access_profile profile_id 10 add access_id 25 ip udp src_port 68 port 15 deny
config access_profile profile_id 10 add access_id 26 ip udp src_port 68 port 16 deny
config access_profile profile_id 10 add access_id 27 ip udp src_port 68 port 17 deny
config access_profile profile_id 10 add access_id 28 ip udp src_port 68 port 18 deny
config access_profile profile_id 10 add access_id 29 ip udp src_port 68 port 19 deny
config access_profile profile_id 10 add access_id 30 ip udp src_port 68 port 20 deny
config access_profile profile_id 10 add access_id 31 ip udp src_port 68 port 21 deny
config access_profile profile_id 10 add access_id 32 ip udp src_port 68 port 22 deny
config access_profile profile_id 10 add access_id 33 ip udp src_port 68 port 23 deny

config access_profile profile_id 10 add access_id 34 ip udp src_port 68 port 24 deny
Простыми словами ты запрещаешь посылать DHCP пакеты в сеть для портов 1-24 учитывая что порты 25-26 настроены как аплинки...
 
Назад
Сверху