2 SpiderX



По логике, на самом деле можно, причем правило локал dhcp relay будет иметь приоритет над обычным dhcp релей, единственное неудобство, что вам придется отслеживать чтобы правило local relay было на всех коммутаторах где настроен влан откуда потенциально может "просочиться левый" dhcp запрос.

про acl отпишу поздней, сегодня весь день занят сильно, т.е. вы хотите трафик на кольцах уже фильтровать?

UPD: Вот здесь есть замечательные материалы как делать фильтры для DHCP запросов http://www.dlink.ru/ru/faq/62/240.html

Меня просто смущает тот факт, что local relay, в случае использования dhcp relay, используется для подавления дублирования одних и тех же dhcp-запросов от разных свитчей.
viewtopic.php?t=64761 и viewtopic.php?t=116224 (сообщения Демина Ивана)
В случае, если я укажу влан для local relay, не лишится ли он этой функции (функции подавления таких запросов)?

[/quote]
Спасибо. Жду.
Про кольца не понял.
Я хочу чтобы из определенного влана свитч не релеил dhcp, и пакеты просто ходили бы по влану. Как я понял это это можно сделать через CPU ACL, указав в правилах, что вот в таких-то вланах траффик с портов 67 и 68 не трогать.

2Ivan E. Да один из клиентов захотел прокинуть dhcp между своими офисами в влане который мы ему выделили. Получили ж.


По всей видимости придется включить dhcp local relay + dhcp relay на L3, но при этом не потеряем ли Opt82. Надо протестировать.

2all
Госопода.
Чтобы не гадать на кофейной гуще, я собирал стенд, в конце рабочего дня расскажу детали.

Ждем.

сегодня не успел , каюсь, завтра с утра....

2all

Для начала опыт показал, что обычный dhcp relay приоритетней чем правило dhcp local relay. Следовательно этот вариант для решения проблемы отпадает.

Остается вариант перенести DHCP Relay с доступа на коммутатор агрегации (заивист от схемы конкреной сети) и фильтровать на нем DHCP запросы приходящие с доступа, т.е. можно разрешить DHCP запросы только из нужных нам VLAN.

Был собран следующий стенд где SWITCH_1 играет роль агрегатора.

VLAN_2
[DHCP Server]-------<1>[SWITCH_1]<24>------<1>[SWITCH_2]<24>-----[CLIENT_PC1] (VLAN4, VLAN3)


1) DHCP сервер находится в VLAN2
2) Меджу SWITCH_1 и SWITCH_2 транк (порты 24,1) где ходят VLAN 3,4
3) на SWITCH1 настроен DHCP Relay и на 24 порту установлен CPU access_list, в котором указано праивло, не пропускать dhcp заспросы из VLAN3
4) на SWITCH_2 есть два порта доступа 23 (vlan3) и 24(vlan4)

Результат: только клиент 4 влана может получить IP по DHCP

Для стенда было использовано оборудовние 3028:

Ппример настройки правила запрещающего dhcp запросы из 3 влана

create cpu access_profile profile_id 2 packet_content offset_0-15 0xffffffff 0xffff0000 0x0 0xffff offset_16-31 0x0 0x0 0xff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0
config cpu access_profile profile_id 2 add access_id 1 packet_content offset_0-15 0xffffffff 0xffff0000 0x0 0x3 offset_16-31 0x0 0x0 0x11 0x0 offset_32-47 0x0 0x0 0x430000 0x0 port 24 deny
enable cpu_interface_filtering

Спасибо.

Но интересует немного другая ситуация, когда dhcp_relay и аксессовые порты (куда непосредственно включаются клиенты) - это все один свитч (SWITHC_2 как в вашем примере).
Будет ли работать данный АСЛ в такой ситуации?

То есть Вы хотите по сути получить DHCP Relay включаемый/отключаемый на отдельных портах коммутатора доступа? Такой возможности нет. А чем Вас не устраивает предложенный вариант?

Именно.


Есть свитч доступа. В нем включен dhcp_relay. В него включены физ. лица. В доме, где стоит свитч, появлется юр. лицо. Юр. лицо просит сервис L2-транспорт (надо связать его с каким-то его офисом в другом конце города через отдельный влан). В локальной сети этого юр. лица используется dhcp. Естественно юр. лицо включается в тот же самый свитч, что и физ. лица. В отдельный порт, на юр. лицо выбрасывается отдельный влан. Но услугу L2-транспорт предоставлять возможности нет. Так как все dhcp-пакеты будут заворачиваться на dhcp-сервер провайдера через dhcp_relay.

А чем Вас не устраивает именно перенести dhcp_relay в таком случае с доступа на уровень выше?

Ну для этого он (L3) должен быть Но пока что их нет, и агрегация работает на L2 свитчах.

Я знаю про то, что Длинк рекомендует именно такой выход из положения. На эту темы уже были разговоры с региональным представительством Длинка. Но такое решение не подходит.

Раз это невозможно, то есть возможность рассмотреть добавление данной возможности в DES-3200?

2 SpiderX

Не надо никаких L3
L2 свитчи подойдут... в моем тесте было 2 штуки 3028
просто релей будет перенесен на уровень выше и появится возможность фильтровать dhcp запросы.
почему в вашем случае нельзя перенести релей на агрегацию?

Логическое устройство сети усложняется. Если для одного свитча релей делать на агрегации, для всех остальных делать на самом свитче.
При таком подходе релей придется переносить на агрегацию для всех свитчей доступа. Может в этом есть даже и позитивные моменты.

Тогда следующий вопрос. Вот те АСЛ будут отрабатывать DGS-3100? В нем есть CPU ACL? Так как на 3.60.28 enable cpu_interface_filtering говорит, что он этого не умеет.

Нету.

_________________
С уважением,
Бигаров Руслан.