Есть сетка в которой есть DHCP сервер.
Взял DES-3200-26 FV 1.52.B010
25 порт - магистраль на свитч принимаю пару вланов.
Включаюсь в 1 порт запускаю tcpdump и вижу броадскт
15:13:15.818232 IP 192.168.88.145.137 > 192.168.91.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15:13:15.818991 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from f0:de:f1:6c:04:7b, length 308
15:13:15.841757 ARP, Request who-has 192.168.89.5 tell 192.168.88.145, length 46

т.е. я вижу dhсp запросы клиентов которые включены в другие коммутаторы - пока все нормально.

Когда я включил на этом коммутаторе DHCP Relay, свитч начал перехватывать пакеты приходящие через магистральный порт, отправлять на мой тестовый dhcp сервер и отвечать абонентам.

Подскажите что можно сделать. нужно или как-то Relay на нужных портах включить или заблокировать чтобы наш свитч не видел запросы с магистрали

но этот ACL не сработал, что не так ?

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Поясните подробнее. Вам нужен dhcp_relay только на этом коммутаторе? На остальных коммутаторах магистрали он выключен?
Какие модели коммутаторов используются кроме DES-3200?

Ему нужен тот же функционал который мы с нетерпением ждем уже почти полтора года.

_________________
D-Link Switches: Tips & Tricks

Да мне нужен пока только на этом коммутаторе, на всех других свитчах он выключен. (как разберусь как работает, буду вводить там где нужно)

В сети еще DGS-3120-24SC, DES-3200, DES-3526, DES-3528, DES-3026
В ядре DGS-3120-24SC от него где кольца, где просто лучи звезды.

В данном случае схема такая.
DGS-3120-24SC(ядро) - DES-3200-10 - DES-3200-26(мой тестовый)

Вот и получается, что запрос DHCP родившись в другой части сети долетает и до легального dhcp сервера и до моего свитча с включенной функцией dhcp_relay и свитч посылает запрос на мой тестовый dhcp сервер и отвечает клиенту.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Пока такое реализовать невозможно.

Это я уже понял.

А как на счет того чтобы заблокировать на 25-26 порту dchp запросы
15:13:15.818991 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from f0:de:f1:6c:04:7b, length 308



Идея заблокировать входящий броадкаст на 67 udp-порт на 25-26 портах коммутатора. Т.е. чтобы свитчу не было что перехватывать.

У меня эти правила не сработали, что не так ?

Прочитал выше указанную тему там сказано создавать CPU ACL.
Разве обычный ACL не дропнит пакет на входе в свитч, чтобы пакет не попал ни в другие порты, ни к процессору.
А если я создам CPU ACL, то пакет попадет в другие порты, т.е. пройдет через свитч, но не попадет к процессору и соотв. релей не сработает ? Так ?
Как я понял обычные ACL обрабатываются портовым чипом и не нагружают процессор, а CPU ACL обрабатываются процессором и каждое правило дроп это лишняя нагрузка на процессор. Так ли это или я заблуждаюсь ?

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.

Продолжу тему!

Столкнулись с тем, что на свичах серии DES-3200 невозможно заблокировать прослушивание dhcp-relay-ем броадкастовых пакетов DHCPDISCOVER/DHCPREQUEST на магистральных портах. На свичах DES-3526 и DES-3528 это легко подавили с помощью CPU ACL. А вот на 3200 никак! Очевидно, потому, что системные ACL (в том числе и dhcp-relay) имеют более высокий приоритет чем пользовательские и CPU ACL.

Используем на всех свичах доступа dhcp-relay + opt.82. В сети около 300 свичей DES-3200/3526/3550/3528. Изредка в некоторых свичах DES-3526 почему-то dhcp-relay не перехватывает абонентские броадкастовые DHCPDISCOVER/DHCPREQUEST и выпускает их в магистраль на аплинковые порты. В результате все до единого свичи DES-3200, работающие с этим вланом, реагируют на своих магистральных аплинк-портах на пришедшие чужие DHCPDISCOVER/DHCPREQUEST. Получаем эдакий кратковременный DoS dhcp-сервера неверными relay-запросами. Крайне непрятная ситуация!

Присоединяюсь к многочисленным ранее озвученным просьбам ввести в серии 3200 возможность указания портов, которые не прослушиваются dhcp-relay!

Это обещали в первом квартале 2012. Сами ждем уже с конца 2010. Пока "решаем" проблему, настраивая релей по вланам.

_________________
D-Link Switches: Tips & Tricks

В теме с прошивками доступна v1.70.B006 с функцией dhcp_relay per port.
Команда в CLI: