Доброго времени.
Подскажите, пожалуйста, как работает DHCP Server Screening на DGS-1500-28. Т.е. каким образом настраивать. Вижу, что создается правило в ACL на разрешение, указан ip из Trusted DHCP Server IP Lists, применяется к портам указаным в Trusted Post Settings. Но, я не вижу запрещающего правила. Или оно неявно указывается?
Если бы было зарещающее правило, то я бы понял, что нужно включить Screening на Uplink портах и указать доверенные адреса DHCP сервера, на остальных бы всё резалось. А так, я что-то непонимаю. Просвятите.

DHCP Server Screening включается на абонентских портах. Функция предназначена для блокирования выдачи адресов с недоверенных портов.

_________________
Народ и партия - едины!

Прошу прощения за мой тупизм, но я не могу понять, как "разрешающее" правило висящее на абонентских портах будет блокировать ответы от левых dhcp серверов. Почему получается, что в веб морде (через веб же только настраивается данная модель), я указываю "доверенные порты" и "доверенные адреса сервера", когда по логике нужно было бы указывать запрещённые порты (читай абонентские).

такого коммутатора как у вас у меня нету
но на дес-3028, 3526, 3200...
указываются именно порты на которых нужно запретить дхцп сервер

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

config filter dhcp_server ports all state enable
config filter dhcp_server ports 25-26 state disable

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Вот что-то такое я и ожидал увидеть. Но DGS-1500 настраивается только через web. И там речь идёт о доверенных 1 скрин. После чего создается правило на разрешение 2 скрин.

Ну, всё правильно. Создалось правило разрешающее на всех портах трафик по 67-68 порту от адреса твоего DHCP. Почти уверен, что если заглянуть дальше в списки правил, то дальше будет запрещающее любую активность по портам 67-68. То есть доверенный адрес разрешаем, всё остальное запрещаем.

_________________
Народ и партия - едины!

В том-то и дело, что нет там никакого запрещающего правила. Правила два, первое это IMPB (но привязку к портам я не использую) и создаваемое правило, когда вкючается Screening. Собственно на скрине эти правила. Мне смысл не ясен правила, зачем разрешать конкретный ip на портах абонентов, теоретически там может появиться такой же ip как и на сервере, и тогда правило тупо пропустит.
Мне уже кажется, что проще самому создать правило запрещающее все пакеты с 67 на 68 порт и навешать только на порты абонентов, а аплики не трогать.

Ну тогда фиг знает. Надо конфигурацию смотреть.

_________________
Народ и партия - едины!

У нас DES-3200-28.

Не отрабатывает DHCP_SERVER_SCREENING. Сообщение в log-е появляется, например:
1367 2014-02-05 14:17:55 Detected untrusted DHCP server(IP: 172.20.64.223, Port: 4)

Но адреса "злоумышленник" продолжает раздавать адреса.

Настройки:

А какая прошивка?

_________________
Народ и партия - едины!

DES-3200R_1.83.B008.had
и
DES3200R_4.36.B011.had

У вас случаем не DES-3200-26P с ПоЕ ?

Была такая проблема, переписывался, прислали в почту исправленную прошивку. Проверить не успел, свичи уехали в другое место.

Сейчас такая же проблема с DGS-3200-10, написал об этом в соседнем топике.

Вроде как есть и более свежая:

Device Type : DES-3200-10 Fast Ethernet Switch
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.36.B016
Hardware Version : C1

На ней DHCP-Screening работает и в лог пишет и реально блокирует, только что проверил.

Попробую.
А как на счет A1,B1 (1.83.B008 или 1.84.B004)?
Завтра стенд соберу, чтоб проверить.