Здравствуйте!

Сегодня словили пользовательский DHCP сервер.
На порту включена опция DHCP-screening, она разве не защищает от этого? (в лог писал, но пропускал).
В рекламе свитча сказано "Коммутаторы также поддерживают функцию DHCP Screening, запрещающую доступ неавторизованным DHCP-серверам. Включение данной опции позволяет отфильтровывать все пакеты DHCP-сервера с определенного порта."

Также на свитче активирован DHCP Relay.

Пока жду ответа, пошел составлять фильтр ACL для DHCP.

DGS-3200-24
Firmware Version 2.10.B006

с DES-3028 похожая ситуация на прошивке
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.90.B07

Включен dhcp filter
DES-3028:5#show filter dhcp_server
Command: show filter dhcp_server
Enabled ports: 1-24
Filter DHCP Server Trap & Log State: Enabled
Illegal_Server_Log_Suppress_Duration : 1 Minute

В логах пишет
2012-02-17 22:39:36 Detected untrusted DHCP server(IP: 10.1.241.193, Port:2)

У абонента с другого порта выдается ип вида 192.168.0.0\16, т.е. наша сетка не пашет, а клиент получает ип роутера который раздаёт DHCP со 2 порта, как работает данный функционал, он должен блокировать трафик вещания DHCP с 2 порта и отбрасывать его ?

Нужно ли указывать в config filter dhcp_server add permit server_ip <ipaddr> наш доверенный адрес DHCP ?

xOr
Если у вас настроен DHCP Relay то широковещательные запросы от клиента в принципе не попадут на соседний порт, на котором может быть "левый" DHCP сервер - они будут перехвачены коммутатором и юникастом отправлены на настроенный ip адрес DHCP сервера.
Если же relay не настроен и широковещательный запрос доходит до "левого" сервера, то командой

будут отфильтрованы все ответы от сервера на широковещательный запрос - и клиент ip адрес не получит.
hsvt
Дело видимо в настройках - необходимо запрещать появление DHCP серверов на клиентских портах и указывать разрешенный ip адрес сервера на аплинке - тогда все отрабатывает корректно.