Добрый день!
Используем сеть на DES-3200-28, с DHCPv4 relay и некоторым набором ACL для него.
Столкнулись с тем, что на одном из коммутаторов клиенты не могут получить dhcp-адрес от релея, да и доходят они до релея через раз.
Выяснилось, что один из клиентов начал рассылать вот такие запросы:
Код:
2017-02-06 13:02:08.779176 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.784026 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.788653 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.793425 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.797668 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.802254 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.806849 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.811578 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.816078 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.820851 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.825326 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
2017-02-06 13:02:08.829626 IP6 fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: dhcp6 solicit
Чуть подробнее:
Код:
e4:6f:13:b8:f1:e0 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 165: vlan 3117, p 0, ethertype IPv6, (hlim 64, next-header UDP (17) payload length: 107) fe80::e66f:13ff:feb8:f1e0.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=8c7726 (elapsed-time 65535) (option-request SIP-servers-domain SIP-servers-address DNS-server DNS-search-list opt_56 SIP-servers-address AFTR-Name opt_67) (client-ID hwaddr type 1 e46f13b8f1e0) (reconfigure-accept) (Client-FQDN) (IA_NA IAID:1 T1:0 T2:0) (IA_PD IAID:1 T1:0 T2:0))
Эти запросы стали рассылаться по всему сегменту, количеством порядка 250 пакетов в секунду, и нарушать работу dhcp-relay на исходном коммутаторе.
Вопрос - как лучше от такого рода запросов защищаться?
Вход
Регистрация
FAQ
Поиск
