faq обучение настройка
Текущее время: Чт мар 28, 2024 20:09

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DES 3200-28 DHCP ACL
СообщениеДобавлено: Пн окт 01, 2018 16:18 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Добрый день, есть такая проблема, на доступе стоят УК DES 3200-28 Boot PROM Version : Build 4.00.002 Firmware Version : Build 4.46.B006 на них реализована раздача DHCP через DHCP Relay Option 82, но нередко возникает проблема левых DHCP серверов с клиентских портов и при попытке клиента получить ip адрес он хватает его с левого DHCP. Uplink 25 порт , клиентские 1-24. Пытался их резать с помощью таких ACL:
create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
config access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24,26-28 permit rx_rate no_limit
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1-28 permit rx_rate no_limit
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny
Но результата нет, с клиентских портов так и летит DHCPOFFER. Так же пытался резать левые DHCP с помощью:
config filter dhcp_server ports 1-24 state enable
Но результата так же нет, клиент хватает левый dhcp. Так же пытался составить ACL на основе Packet Content Filtering, но рабочего шаблона так и не добился.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Пн окт 01, 2018 16:54 
Не в сети

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow
traffic_segmentation решит и эту, и множество других проблем
а ещё лучше перейти на vlan-на-абонента, тогда ещё и конфликты маков мешать не будут


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Пн окт 01, 2018 17:06 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Сеть так настроена что пока нет возможности перейти на vlan-на-абонента,traffic_segmentation на портах настроен:
config traffic_segmentation 1 forward_list 1,25
config traffic_segmentation 2 forward_list 2,25
config traffic_segmentation 3 forward_list 3,25
config traffic_segmentation 4 forward_list 4,25
config traffic_segmentation 5 forward_list 5,25
config traffic_segmentation 6 forward_list 6,25
config traffic_segmentation 7 forward_list 7,25
config traffic_segmentation 8 forward_list 8,25
config traffic_segmentation 9 forward_list 9,25
config traffic_segmentation 10 forward_list 10,25
config traffic_segmentation 11 forward_list 11,25
config traffic_segmentation 12 forward_list 12,25
config traffic_segmentation 13 forward_list 13,25
config traffic_segmentation 14 forward_list 14,25
config traffic_segmentation 15 forward_list 15,25
config traffic_segmentation 16 forward_list 16,25
config traffic_segmentation 17 forward_list 17,25
config traffic_segmentation 18 forward_list 18,25
config traffic_segmentation 19 forward_list 19,25
config traffic_segmentation 20 forward_list 20,25
config traffic_segmentation 21 forward_list 21,25
config traffic_segmentation 22 forward_list 22,25
config traffic_segmentation 23 forward_list 23,25
config traffic_segmentation 24 forward_list 24,25
config traffic_segmentation 25 forward_list 1-25
Но получается как то так что DHCPOFFER летит на Uplink и далее на другой УК, где уже и его хватает клиент. Тоесть в рамках одного УК traffic_segmentation работает, а когда берется несколько УК в сети то уже нет.
У Cisco все решилось с помощью ip dhcp snooping trust, а тут никак не могу сделать верный ACL. Вот и хотел бы разобраться с Packet Content Filtering.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 11:31 
Не в сети

Зарегистрирован: Вс мар 07, 2004 17:01
Сообщений: 125
Могу предположить, что из-за снупинга свитч форвардит весь DHCP-трафик при помощи CPU, поэтому аппаратные ACL не работают.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 12:48 
Не в сети

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow
уровнем выше тоже надо включить traffic_segmentation.

а зачем вы включаете трафик с порта на этот же самый порт?!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:07 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
traffic_segmentation на вышестоящем УК настроен аналогично, а то что он включен в тот же самый порт это роли особо не играет, можно и добавлять и не добавлять- суть одна и та же. Мне интересен есть ли способ обрезать левые dhcp сервера с клиентских портов, те методы ACL которые я описал выше ни оказывают ни какого действия. А про то что свитч форвардит весь трафик при помощи cpu это вполне может быть, но только как это проверить?или же исправить?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:10 
Не в сети

Зарегистрирован: Вс май 22, 2005 10:19
Сообщений: 895
Откуда: Moscow
если traffic_segmentation настроен на всех уровнях выше, проблема с левыми dhcp возникать не должна вовсе.
что-то не так делаете


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:21 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Поправьте если я что то не так понимаю, traffic_segmentation в моём случае запрещает хождение трафика с одного клиентского порта на другой, и это работает на примере одного УК, но когда они идут по цепочке от нижестоящего и на верх, то левый dhcp срёт свои DHCPOFFER на аплинк своего УК, и что же мешает клиенту с вышестоящего УК хватануть этот ответ.А может даже ипакет как то закольцуется на одном УК. Я собирал стенд из двух DES 3200 и настраивал там traffic_segmentatio так что бы с клиентского порта трафик шёл только на аплинк, так вот если воткнуть dhcp сервер в соседний УК в клиентский порт то на первом УК я получаю ip.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:27 
Не в сети

Зарегистрирован: Вс мар 07, 2004 17:01
Сообщений: 125
Так вы настройте traffic segmentation так, чтобы со всех портов свитча кроме аплинка (а не только пользовательских) трафик пересылался только на аплинк-порт.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:43 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Так ведь traffic segmentation так и настроен на всех УК так что со всех портов трафик идёт только на аплинк, а с аплинка на все порты, но что мешает пакету нижестоящего свитча попасть на аплинк вышестоящего свитча а далее на клиентский порт и дать ему ip?все эти порты работают в одном Vlan.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 15:49 
Не в сети

Зарегистрирован: Вс мар 07, 2004 17:01
Сообщений: 125
avtopolskii писал(а):
что мешает пакету нижестоящего свитча попасть на аплинк вышестоящего свитча а далее на клиентский порт

Если вы настроите traffic_segmentation на порту, к которому подключен нижестоящий свитч (форвардинг только на аплинк), то на клиентские порты этого свитча от нижестоящих свитчей ничего не попадет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 16:10 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Я вас понял, так действительно будет работать в малой сети и тут я виноват, что не описал свою ситуацию полностью.
У меня имеется distribution layer несколько колец приблизительно структурой DGS-3420-28SC - DGS-3420-28SC - DGS-3420-28SC, от них расползается сеть доступа, на ней стоят УК в основном Dlink 3200, так вот если я настрою traffic_segmentation так как вы предлагаете то дойдя до одного из DGS пакет уходит на другую ветку доступа и даёт там не нужному клиенту ip, traffic_segmentation на DGSах я не могу настроить подобным образом там стоит правило хоть кому хоть от кого ибо присутствует много статики, таким образом у меня только один вариант, это грохать левый dhcp именно на уровне УК доступа путём каких либо ACL, но предложенные варианты от dlink не работают, единственное что я надеюсь сработает это Packet Content Filtering, а тот ACL который я написал по примеру из этой статьи http://www.dlink.ru/u/faq/62/954.html не сработал.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 16:13 
Не в сети

Зарегистрирован: Вс мар 07, 2004 17:01
Сообщений: 125
Код:
config filter dhcp_server ports 1-24 state enable

Должен работать железно. Если не работает - это баг и китайцы должны его исправить.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 16:23 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
Вот я к этому и вёл, это правило не работает ни так ни через прямую через
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
На стэнде я всё равно получаю ip при том что dhcp сервер воткнут в клиентский порт.
Может кто настраивал ACL по типу Packet Content Filtering и поможет мне?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES 3200-28 DHCP ACL
СообщениеДобавлено: Вт окт 02, 2018 16:25 
Не в сети

Зарегистрирован: Пн окт 01, 2018 15:16
Сообщений: 9
И если так то мне надо писать в саппорт dlink или же они обитают на этом форуме?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 33


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB