ahk
после общения с Иваном, пришла в голову такая мысль:
Все пакеты которые получает свич бывают 2-х видов
- те что надо форвардить
- те что надо обработать процессором.
ДХЦП-запрос
Код:
20:12:56.297668 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request [|bootp]
обрабатывается (насколько я понимаю) так
1. копия пакета передается на обработку софту
2. сам пакет форвардится по всем портам (т.к. является широковещательным запросом)
Но, т.к. пакет форвардится, то на него можно применить ACL!
соответсвенно, если выполнить
Код:
create access_profile ip vlan source_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 1 ip vlan Customers source_ip 0.0.0.0 udp src_port 67 port 1-24 deny
config access_profile profile_id 10 add access_id 25 ip vlan Customers source_ip 0.0.0.0 udp src_port 68 port 1-24 deny
то пакеты DHCP свичем форвардиться не будут, но будут продолжать релеиться на сервер указанный как dhcp_reley
Протестировал на 2-х свичах, клонирование пакетов не происходит.
Очевидно, что схема будет работать только когда на пути пакета всего один релей.
Отдельное спасибо Ивану за подсказку в какую сторону смотреть.
Сейчас соберу схему из 10 свичей, результат отпишу.
Вход
Регистрация
FAQ
Поиск
