Witam,
Przymierzam się do włączenia ip dhcp snoop na ex2200. Mam okolo 15 vlanów L2, dla tych vlanów L3 jest terminowane na srx - tzw: router on the stick. na trzech vlanach mam uruchomiony dhcp scope.
Proszę podpowiedzieć jak to uruchomić na produkcyjnym środowisku tak by server dhcp na srx nie został zablokowany. Na cisco na połączeniu trunk robiłem trust ale czy tak podobnie jest w Jupku?
Jednak muszę troszkę zmienić pytanie. Chodzi o to, że na Cisco jak robiłem port typu trust dla dhcp snooop to tam podawałem wartość rate = max 2048. Czy to jest ten sam wskaźnik ilości mac adresów na interface co w Junuiperze MAC-LIMIT?
Będę wdzięczny za wskazówki
Pozdrawiam
DHCP Snoophing dla okreslonych vlanów
Re: DHCP Snoophing dla okreslonych vlanów
Interfejsy w stronę serwera (ów) dhcp robisz jako trust reszta untrust.
Aby zabezpieczyć przed używaniem statycznych adresów w sieci ustaw DAI i IPSG na wybranych vlanach.
Wszystko skonfigurujesz w sekcji ethernet-switching-options secure-access-port poniżej przykład:
Aby zabezpieczyć przed używaniem statycznych adresów w sieci ustaw DAI i IPSG na wybranych vlanach.
Wszystko skonfigurujesz w sekcji ethernet-switching-options secure-access-port poniżej przykład:
"show dhcp snooping binding" pokaże tobie bazę zbudowaną na switchu.secure-access-port {
interface ge-0/0/0.0 {
no-dhcp-trusted;
}
interface ge-0/0/1.0 {
no-dhcp-trusted;
}
interface ge-0/0/2.0 {
no-dhcp-trusted;
}
interface ge-0/0/3.0 {
no-dhcp-trusted;
}
interface ge-0/0/4.0 {
no-dhcp-trusted;
}
interface ge-0/1/2.0 {
dhcp-trusted;
}
interface ge-0/1/3.0 {
dhcp-trusted;
}
vlan DHCP_SECURE_VLAN {
arp-inspection;
examine-dhcp;
ip-source-guard;
}
}