Есть ли возможность дхцп запрос при включеном релее не пускать в сетку а только релеить?
Какие способы существуют для защиты клиентов сети от левых дхцп серверов?

так запрос обрабатываемый DHCP Relay и не идет по сети - он юникастом отпраляется на сервер ...


если работает DHCP Relay - никаких особых средств не нужно

_________________
с уважением, БП

дело в том что дхцп релей включен, но иногда ответы на дхцп запрос приходят с абсолютно левых серверов

Вот FAQ в котором указано как защититься от поддельных DHCP-серверов на клиентских портах http://www.dlink.ru/technical/faq_hub_switch_66.php А по поводу того чтобы запрос от клиента не шёл дальше в клиентском VLAN-е а только релеился включите (только включите!) Local relay командой enable dhcp_local_relay.

на порту левого дхцп сервера вешаю аксес лист из фака только ид 5 а не 1 т.к. 1 уже используется
Access Profile ID : 5 Type : IP
================================================================================ - UDP
Owner : ACL
Masks :
Src.P
-----
FFFF

Access ID: 3 Mode: Deny
Owner : ACL
Port : 20
-----
67

всеравно ответы дхцп сервера от него идут.

на клиентском коммутаторе включаю дхцп локал релей
DES-3526:admin#show dhcp_local_relay

DHCP/BOOTP Local Relay Status : Enabled
DHCP/BOOTP Local Relay VLAN List :

DHCP/BOOTP Relay Status : Enabled
DHCP/BOOTP Hops Count Limit : 4
DHCP/BOOTP Relay Time Threshold : 0
DHCP Relay Agent Information Option 82 State : Enabled
DHCP Relay Agent Information Option 82 Check : Disabled
DHCP Relay Agent Information Option 82 Policy : Replace
DHCP Relay Agent Information Option 82 Remote ID : 00-17-9A-44-44-44

Interface Server 1 Server 2 Server 3 Server 4
------------ --------------- --------------- --------------- --------------
System 80.70.**.**

и всеравно получаю ответ от левого сервера
Boot PROM Version : Build 3.00.008
Firmware Version : Build 5.01-B36
Hardware Version : 3A1

Попробуйте пожалуйста прошивку которую я вам выслал.

А не проще будет воспользоваться функционалом и заюзать

config filter dhcp_server ports (user-ports) state enable

?

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры

В принципе можно и так. Просто не люблю всякие автоматизации!:)

Какая странная нелюбовь к собственным безупречно работающим фичам...
Вы от нас явно что-то скрываете

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры

Это личное!:) А так фичи работают может проверить.

Коллеги, а как реализовать запрет на "чужие" DHCP сервера на коммутаторах DES-3226S?
Благодарю.

_________________
Даже у плохого администратора есть свои плюсы...

_________________
с уважением, БП

Очень исчерпывающий ответ. Благодарю.
У Вас есть ещё какие-нить варианты?

_________________
Даже у плохого администратора есть свои плюсы...

так

купите какой-нибудь и у Вас обязательно получится воспроизвести нечто аналогичное

где 00-0A-0B-0C-0D-0F mac-адрес dhcp сервера

Коллеги, тем кто читает между строк я повторюсь.

В статье (http://dlink.ru/technical/faq_hub_switch_66.php) описан способ для комутаторов DES-3526

Реализация списков доступа в комутаторах DES-3226S не позволяет привязать правило к определенному _физическому_ порту.

Засим, прошу помощи в решении данной задачи.

_________________
Даже у плохого администратора есть свои плюсы...