Запретить dhcp в локальной сети

Тема в разделе "Администрирование серверов", создана пользователем Martyn911, 16 мар 2012.

Модераторы: mefish, stooper
  1. Martyn911

    Martyn911 Постоялец

    Регистр.:
    21 авг 2010
    Сообщения:
    129
    Симпатии:
    13
    Здравствуйте!
    Есть локальная сеть в такой связке: роутер->узловой свитч dell6024f->несколько колец свичей dell3324 и 3348, по этой сети раздается интернет через VPN, моя задача не выпускать в сеть адреса, которые раздают левые DHCP сервера кроме роутера(на linux, адреса вида 165.15.0.x), была идея добавить правило acl, но не знаю как правильно, да свитчей много, если настроить на узловом, то просто не выпущу с кольца, а это мне не подходит, кто может помочь, хотя бы натолкнуть на мыслю?
     
  2. poplarlk

    poplarlk Создатель

    Регистр.:
    9 ноя 2011
    Сообщения:
    10
    Симпатии:
    3
    Посм. характеристики DELL3324 там же есть (если верить описанию)
    "- Поддержка управления BootP/DHCP IP-адресами."
    а значит должно быть что-то типа "DHCP Snooping".
    И кстати, ты VLAN используешь?

    в общем вот тебе "на мысл"
    DHCP Snooping и VLAN :)
     
  3. Martyn911

    Martyn911 Постоялец

    Регистр.:
    21 авг 2010
    Сообщения:
    129
    Симпатии:
    13
    да VLAN, спасибо за советы, с DHCP Snooping буду разбираться завтра на работе
     
  4. Martyn911

    Martyn911 Постоялец

    Регистр.:
    21 авг 2010
    Сообщения:
    129
    Симпатии:
    13
    помогите разобраться с этим набором букв
    Определение списков ACL, основанных на IP-адресах

    Страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) позволяет администраторам сети определять списки управления доступом ACL, основанные на IP-адресах, и записи управления доступом ACE. Записи ACE служат фильтрами соответствия пакетов критерию пересылки. Как открыть страницу Add ACE to IP Based ACL:
    • Выберите пункты Switch > Network Security > IP based ACL. Откроется страница Add ACE to IP Based ACL.
    [​IMG]
    Страница Add ACE to IP Based ACL
    На странице Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) есть следующие поля:
    • ACL Name (Имя ACL) - содержит список пользовательских ACL.

    • New ACE Priority (Новый приоритет ACE) - определяет приоритет нового ACE. Записи ACE проверяются по схеме первого совпадения. Приоритет ACE определяет порядок этих записей в списке ACL.

    • Protocol (Протокол) - включает создание нового ACE, основанного на конкретном протоколе.

    • Source Port - показывает порт-источник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.

    • Destination Port (Порт-приемник) - показывает порт-приемник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.

    • Source IP Address (IP-адрес источника) - сопоставляет IP-адрес источника, на который адресованы пакеты, с конкретным ACE.

    • Wild Card Mask (Маски ввода) - показывает Маску ввода для IP-адреса источника. Подстановочные символы используются для замены всего IP-адреса или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198, а маска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.

    • Dest. IP Address (IP-адрес источника) - cопоставляет IP-адрес приемника, на который адресованы пакеты, с конкретным ACE.

    • Wild Card Mask (Маска ввода) - показывает маску ввода для IP-адреса приемника. Подстановочные символы используются для замены всего IP-адреса приемника или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198, а маска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.

    • Match DSCP (Соответствие DSCP) - сопоставляет величину пакетов DSCP с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.

    • Match IP-Precedence (Соответствие приоритета IP) - сопоставляет приоритет IP-пакетов с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.

    • Action (Действие) - показывает действие передачи для нового ACE. Возможные значения поля:

      • Permit (Разрешить) - Пересылает пакеты, отвечающие критериям нового ACE.

      • Deny (Запретить) - отбрасывает пакеты, отвечающие критериям нового ACE.

      • Deny and Disable Port (Запретить и отключить порт) - отбрасывает пакет, отвечающий критериям нового ACE, и отключает порт, на который он был адресован. Порты активизируются вновь через настройку портов, см. раздел "Перейти по ссылке".
    Добавление списков ACL, основанных на IP-адресах:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Нажмите кнопку Add (Добавить). Откроется страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
    [​IMG]
    Страница Add IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах)
    1. Определите поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.

    2. Нажмите кнопку Apply Changes (Принять изменения). Списки ACL, основанные на IP-адресах, будут определены. Если был определен новый приоритет записи ACE, он добавляется в новый список ACL.
    Присвоение ACE списку ACL, основанному на IP-адресах:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Выберите в раскрывающемся списке ACL Name (Имя ACL) нужный ACL.

    3. Задайте значение поля New ACE Priority (Новый приоритет ACE).

    4. Определите поля ACE No., Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и/или Action.

    5. Нажмите кнопку Apply Changes (Принять изменения). Запись ACE будет присвоена списку ACL, основанному на IP-адресах.
    Вывод записей ACE для указанных ACL:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах).
    [​IMG]
    Страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах)
    Изменение записи ACE, основанной на IP-адресах:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Нажмите Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах).

    3. Измените поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.

    4. Нажмите кнопку Apply Changes (Принять изменения). Записи ACE, основанные на IP-адресах, будут изменены, а устройство обновлено.
    Удаление списков ACL:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IP-адресах).

    3. Выберите ACL.

    4. Установите флажок Remove ACL (Удалить ACL).

    5. Нажмите кнопку Apply Changes (Принять изменения). Список ACL, основанный на IP-адресах, будет удален, а устройство обновлено.
    Удаление записей ACE:
    1. Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).

    2. Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IP-адресах).

    3. Выберите ACE.

    4. Установите флажок Remove (Удалить).

    5. Нажмите кнопку Apply Changes (Принять изменения). Запись ACE, основанная на IP-адресах, будет удалена, а устройство обновлено.
    Назначение записей ACE, основанных на IP-адресах, для списков ACL с помощью команд консоли

    В следующей таблице приведены команды консоли, присваивающие записи ACE, основанные на IP-адресах, спискам ACL, которые аналогичны действиям страницы Add ACE to IP Based ACL.

    Команды консоли
    Описание
    ip access-list имя
    Включает режим настройки списка доступа по IP-адресам.
    permit {any | протокол} {any | {источник маска_ввода_источника}} {any | {приемник маска_ввода_приемника}} [dscp dscp номер | ip-precedence приоритет_ip_пакета]
    Разрешает трафик, если соблюдены условия, определенные в операторе permit.
    deny [disable-port] {any| protocol} {any | {источник маска_ввода_источника}} {any | {приемник маска_ввода_приемника}} [dscp dscp номер| ip-precedence приоритет_ip_пакета]
    Запрещает трафик, если соблюдены условия, определенные в операторе deny.
    Ниже приведен пример команд консоли:
    Permit 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4
    deny 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4


    источник Перейти по ссылке

    Задача:запретить раздачу адресов по сети dhcp серверами, кроме нужного 172.16.0.1 (диапазон 172.16.0.1-172.16.5.255)
     
  5. falsebyte

    falsebyte Писатель

    Регистр.:
    23 июн 2011
    Сообщения:
    8
    Симпатии:
    2
    Вот так выглядит ACL для Dlink DES 3526

    # ACL
    create access_profile ip udp src_port_mask 0xFFFF profile_id 10
    config access_profile profile_id 10 add access_id 11 ip udp src_port 68 port 1 deny
    config access_profile profile_id 10 add access_id 12 ip udp src_port 68 port 2 deny
    config access_profile profile_id 10 add access_id 13 ip udp src_port 68 port 3 deny
    config access_profile profile_id 10 add access_id 14 ip udp src_port 68 port 4 deny
    config access_profile profile_id 10 add access_id 15 ip udp src_port 68 port 5 deny
    config access_profile profile_id 10 add access_id 16 ip udp src_port 68 port 6 deny
    config access_profile profile_id 10 add access_id 17 ip udp src_port 68 port 7 deny
    config access_profile profile_id 10 add access_id 18 ip udp src_port 68 port 8 deny
    config access_profile profile_id 10 add access_id 19 ip udp src_port 68 port 9 deny
    config access_profile profile_id 10 add access_id 20 ip udp src_port 68 port 10 deny
    config access_profile profile_id 10 add access_id 21 ip udp src_port 68 port 11 deny
    config access_profile profile_id 10 add access_id 22 ip udp src_port 68 port 12 deny
    config access_profile profile_id 10 add access_id 23 ip udp src_port 68 port 13 deny
    config access_profile profile_id 10 add access_id 24 ip udp src_port 68 port 14 deny
    config access_profile profile_id 10 add access_id 25 ip udp src_port 68 port 15 deny
    config access_profile profile_id 10 add access_id 26 ip udp src_port 68 port 16 deny
    config access_profile profile_id 10 add access_id 27 ip udp src_port 68 port 17 deny
    config access_profile profile_id 10 add access_id 28 ip udp src_port 68 port 18 deny
    config access_profile profile_id 10 add access_id 29 ip udp src_port 68 port 19 deny
    config access_profile profile_id 10 add access_id 30 ip udp src_port 68 port 20 deny
    config access_profile profile_id 10 add access_id 31 ip udp src_port 68 port 21 deny
    config access_profile profile_id 10 add access_id 32 ip udp src_port 68 port 22 deny
    config access_profile profile_id 10 add access_id 33 ip udp src_port 68 port 23 deny

    config access_profile profile_id 10 add access_id 34 ip udp src_port 68 port 24 deny

    Простыми словами ты запрещаешь посылать DHCP пакеты в сеть для портов 1-24 учитывая что порты 25-26 настроены как аплинки...
     
    Martyn911 нравится это.