D-Link • Просмотр темы - DES-3526, DHCP Relay и фильтрация броадкастов

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3526, DHCP Relay и фильтрация броадкастов

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 8 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

gibbon

Заголовок сообщения: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пт май 20, 2011 15:17

Зарегистрирован: Чт фев 05, 2004 22:32
Сообщений: 62
Откуда: Москва

Здравствуйте.

Сеть у нас собрана преимущественно на DES-3526 которые соединены кольцом 25-26 портами по оптике. В кольце обычно 5-6 коммутаторов.
На всех включен DHCP Relay и он работает, но беда в том, что броадкаст запросы от клиентов как-то умудряются пройти мимо ACL и начинают релеится с гигабитных портов соседних коммутаторов.
Конфигурация всех коммутаторов аналогичная. Вот выдержка из секции ACL

Код:

# enable arp
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-26 permit 

# enable ARP disable all other broadcast
config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

# filter tcp or udp destination port 
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
# samba
config access_profile profile_id 2 add access_id auto packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny 
config access_profile profile_id 2 add access_id auto packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny 
config access_profile profile_id 2 add access_id auto packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny 
config access_profile profile_id 2 add access_id auto packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny 
config access_profile profile_id 2 add access_id auto packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny 

config filter dhcp_server ports 1-24 state enable

Далее идут ACL созданные IMPB.
Насколько я понимаю броадкаст пакеты DHCP должны попадать под это правило

Код:

config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

и убиваться коммутатором. Как они попадают на 25 и 26 порт непонятно.
Подскажите в чем ошибка, а может как-то можно запретить коммутатору релеить DHCP с определенных портов, скажем с 25 и 26?

Вернуться наверх

terrible

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пн май 23, 2011 06:40

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

попробуйте включить dhcp_local_relay, только главное - никак его не настраивайте.

Вернуться наверх

gibbon

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пн май 23, 2011 10:42

Зарегистрирован: Чт фев 05, 2004 22:32
Сообщений: 62
Откуда: Москва

Включение dhcp_local_relay не помогает, скорее всего из-за того, что в 6 профиле идут правила lease_renew создаваемые IMPB

Код:

Access Profile ID : 6                                      Type : Packet Content
================================================================================
Owner    : Address_binding
Masks    : 

Offset 16-31 : 0xffff0000 00000000 00000000 00000000 
Offset 32-47 : 0x00000000 0000ffff 00000000 00000000 

Access ID: 1              Mode: Lease_renew
Owner    : Address_binding
Port     : 1
----------------------------------------------------
Offset 16-31 : 0x08000000 00000000 00000000 00000000 
Offset 32-47 : 0x00000000 00000044 00000000 00000000 

Access ID: 2              Mode: Lease_renew
Owner    : Address_binding
Port     : 2
----------------------------------------------------
Offset 16-31 : 0x08000000 00000000 00000000 00000000 
Offset 32-47 : 0x00000000 00000044 00000000 00000000 

Access ID: 3              Mode: Lease_renew
Owner    : Address_binding
Port     : 3
----------------------------------------------------
Offset 16-31 : 0x08000000 00000000 00000000 00000000 
Offset 32-47 : 0x00000000 00000044 00000000 00000000 

================================================================================

А правила dhcp_local_relay создаются в 7 профиле

Код:

Access Profile ID : 7                                      Type : Packet Content
================================================================================
Owner    : DHCP_Local_Relay
Masks    : 
Offset 0-15  : 0xffffffff ffff0000 00000000 00000000 
Offset 16-31 : 0xffff0000 00000000 000000ff 00000000 
Offset 32-47 : 0x00000000 00000000 ffff0000 00000000 

Access ID: 1              Mode: Deny
Owner    : DHCP_Local_Relay
Port     : 1
----------------------------------------------------
Offset 0-15  : 0xffffffff ffff0000 00000000 00000000 
Offset 16-31 : 0x08000000 00000000 00000011 00000000 
Offset 32-47 : 0x00000000 00000000 00430000 00000000 

..................................................................................................

Но по идее это все должно рубиться еще первым профилем

Код:

# enable arp
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-26 permit 

# enable ARP disable all other broadcast
config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

Или правила срабатывают в каком-то другом порядке, а не по возрастанию номера профиля?

Вернуться наверх

Negator1983

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пн май 23, 2011 15:34

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274

Запретите вообще 67 и 68 UDP на свиче.
DHCP relay на 3526 срабатывает до ACL. И адрес абонент получит
Иначе релеить будут все свичи до которых дойдет этот броадкаст.
http://www.lanstart.ru/2011/05/11/3526_acl/

_________________
http://lanstart.ru -Сети, сервисы, оборудование.

Вернуться наверх

gibbon

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пн май 23, 2011 15:43

Зарегистрирован: Чт фев 05, 2004 22:32
Сообщений: 62
Откуда: Москва

Так броадкаст должен убиваться еще первым профилем! Не взирая ни на какие порты, все ИП пакеты.

Код:

config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

Вопрос состоит в том почему это НЕ РАБОТЕТ?

Замечаю что в кольце релеят эти броадкасты в основном только соседние свичи, хотя в кольце их может быть штук 8. Значит дальше броадкаст не уходит?
Может это как-то связано с тем что на 25 и 26 портах не включен IMPB?

Вернуться наверх

Negator1983

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Пн май 23, 2011 19:46

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274

gibbon писал(а):

Так броадкаст должен убиваться еще первым профилем! Не взирая ни на какие порты, все ИП пакеты.

Код:

config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

Вопрос состоит в том почему это НЕ РАБОТЕТ?

А зачем указывать 0x800?
Режь броадкаст весь весь. Вместо вышеуказанного сделай так:

Код:

config access_profile profile_id 1 add access_id auto assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1 -26 deny 

Цитата:

Замечаю что в кольце релеят эти броадкасты в основном только соседние свичи, хотя в кольце их может быть штук 8. Значит дальше броадкаст не уходит?
Может это как-то связано с тем что на 25 и 26 портах не включен IMPB?

А абонентский влан на всех 8 домах один?
Броадкаст будет распространяться в пределах влана. Соответсвенно все свичи на которых есть этот влан этот броадкаст увидят и отрелеют.

_________________
http://lanstart.ru -Сети, сервисы, оборудование.

Вернуться наверх

gibbon

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Вт май 24, 2011 00:07

Зарегистрирован: Чт фев 05, 2004 22:32
Сообщений: 62
Откуда: Москва

Negator1983 писал(а):

gibbon писал(а):

Так броадкаст должен убиваться еще первым профилем! Не взирая ни на какие порты, все ИП пакеты.

Код:

config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

Вопрос состоит в том почему это НЕ РАБОТЕТ?

А зачем указывать 0x800?
Режь броадкаст весь весь. Вместо вышеуказанного сделай так:

Код:

config access_profile profile_id 1 add access_id auto assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1 -26 deny 

0x800 указан чтобы резать только IP пакеты и не мешать LBD и STP пакетам.

Цитата:

Абонентский вилан на всех домах один, а релеят броадкаст не 8 свичей. Этого никогда не видел. Обычно только два свича, соседи по кольцу.

Вернуться наверх

gibbon

Заголовок сообщения: Re: DES-3526, DHCP Relay и фильтрация броадкастов

Добавлено: Ср май 25, 2011 12:31

Зарегистрирован: Чт фев 05, 2004 22:32
Сообщений: 62
Откуда: Москва

Так может кто-то ответить, почему DHCP броадкасты проходят через это правило?

Код:

config access_profile profile_id 1 add access_id auto ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-26 deny

Вернуться наверх

Страница 1 из 1

[ Сообщений: 8 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения