DHCP Snoophing dla okreslonych vlanów

JunOS / Juniper / Netscreen
Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

DHCP Snoophing dla okreslonych vlanów

#1

#1 Post autor: Bolo »

Witam,
Przymierzam się do włączenia ip dhcp snoop na ex2200. Mam okolo 15 vlanów L2, dla tych vlanów L3 jest terminowane na srx - tzw: router on the stick. na trzech vlanach mam uruchomiony dhcp scope.
Proszę podpowiedzieć jak to uruchomić na produkcyjnym środowisku tak by server dhcp na srx nie został zablokowany. Na cisco na połączeniu trunk robiłem trust ale czy tak podobnie jest w Jupku?

Jednak muszę troszkę zmienić pytanie. Chodzi o to, że na Cisco jak robiłem port typu trust dla dhcp snooop to tam podawałem wartość rate = max 2048. Czy to jest ten sam wskaźnik ilości mac adresów na interface co w Junuiperze MAC-LIMIT?


Będę wdzięczny za wskazówki
Pozdrawiam

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: DHCP Snoophing dla okreslonych vlanów

#2

#2 Post autor: scoon »

Interfejsy w stronę serwera (ów) dhcp robisz jako trust reszta untrust.
Aby zabezpieczyć przed używaniem statycznych adresów w sieci ustaw DAI i IPSG na wybranych vlanach.
Wszystko skonfigurujesz w sekcji ethernet-switching-options secure-access-port poniżej przykład:
secure-access-port {
interface ge-0/0/0.0 {
no-dhcp-trusted;
}
interface ge-0/0/1.0 {
no-dhcp-trusted;
}
interface ge-0/0/2.0 {
no-dhcp-trusted;
}
interface ge-0/0/3.0 {
no-dhcp-trusted;
}
interface ge-0/0/4.0 {
no-dhcp-trusted;
}
interface ge-0/1/2.0 {
dhcp-trusted;
}
interface ge-0/1/3.0 {
dhcp-trusted;
}
vlan DHCP_SECURE_VLAN {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}
"show dhcp snooping binding" pokaże tobie bazę zbudowaną na switchu.

ODPOWIEDZ