В DES-3200-26 появилась функция DHCP Server Screening Port Settings
В лог она пишет вот такую строчку: Detected untrusted DHCP server(IP: 192.168.0.1, Port: 7)
Вопрос:
1) Можно добавить в лог МАК? т.к. в сети все больше появляется роутеров (Dir-xxx) а с ними и тупых абонентов, которые входящий линк любят включать в любой попавшийся порт, имея мак в логе такого абонента можно просто найти по базе.
2) функцию DHCP Server Screening Port Settings включить в прошивку DES-3828, 3010G, 3200-28F
3)На рутерах по дефолту - отключать ДХЧП или ограничивать DHCP IP Address Range до 3 устроиств.
Мои предложения не панацея от решения проблемы, но такому функционалу будут рады многие.

DHCP Server Screening Port Settings
нашел на 3526
на 3028 нету хочется что-бы там была

А ежели самому руками создать? При этом объединить, к примеру с "kill bill"-ом. Да еще что-то совсем ненужное прибить клиентам (telnet, snmp, ssh, ... - ограничивает только полет фантазии).

З.Ы. Я, к примеру, против подобных встроенных экранов. Их надо либо не делать вообще, что по моему разумению правильно, ибо, по большому счету, упрощает конфигурирование, т.к. перед глазами сразу готовый список того, что надо прибить, либо создавать такие встроенные экраны на каждый случай - "запретить PPPoE", "запретить IP", "запретить M$-сети в PPPoE" и т.д. По-моему, маразм.

Это же касается 1-го топика. Если на порту просто запретить серверные ответы DHCP-сервера, то никто в сети и не узнает, что клиент тупой, кроме самого клиента.

З.З.Ы. На 3010 нет ацл-ов - там вообще такую штуку сделать нельзя

_________________
не важно, из какого места растут золотые руки

ну вообще грамотно сделать именно так - запретить dhcp ответы с клиентских портов, а не ловить и прибивать левые dhcp.

_________________
LiveComm

На DES-3028 есть DHCP Screening.

_________________
С уважением,
Бигаров Руслан.

Для этого есть лог свича.

Это весь ответ от Длинк на мою тему?

так вроде ответ дали нормальный в теме - блокируйте через ACL пакеты от левых дхцп-серверов клиенту. зачем знать маки, если можно просто себя основательно оградить от этого - и пусть клиент раздаёт сам себе на порту что хочет

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Для ситуации когда за этим самым портом больше 1 клиента.

Сам сталкивался с таким, и не раз. Сам писал по поводу такого улучшения в региональное представительство, видимо где-то там улучшение и похоронили.


Целиком поддерживаю. Строчка - Detected untrusted DHCP server(IP: 192.168.0.1, Port: 7) не говорит ни о чем. Что такое 192.168.0.1 ? Это не моя адресация, я не знаю, кто такой 192.168.0.1. А вот строка - Detected untrusted DHCP server(IP: 192.168.0.1 (00:1a:b2:fe:47:01), Port: 7) совсем другое дело. Я с большой долей вероятности тут же найду виновника, поискав в базе абонентов по макам 00:1a:b2:fe:47:01, 00:1a:b2:fe:47:02, 00:1a:b2:fe:47:00. А самое главное, что это смогут сделать сотрудники тех. поддержки, найти его по базе, позвонить ему, и сказать, что нужно сделать, чтобы все было хорошо.


Мне бы хватило 3200 линейки, хотя и для 3028 конечно желательно.


Я думаю в разделе Коммутаторы - это оффтоп

да, дисительно, когда думаешь об идеале, двух клиентов за одним портом не увидишь... тогда да - надо и не думаю, что это так уж сложно реализуется - пакет-то уже захватили

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Спасибо за поддержку. Ждем ответ от Длинк

лучше сделайте правил ACL побольше побольше..
а то вдруг чтото заблокировать захочится а правил нехватает

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

чиво только люди не придумают лишь бы ACL не писать ...

_________________
с уважением, БП

Планируется ли автосохранение конфигурации по расписанию?

_________________
D-Link Switches: Tips & Tricks

Реализуйте полную поддержку Option 82 - не только броадкастовых DHCP пакетов , но и уникастовых DHCP пакетов.