Strona 1 z 1
SRW224G4
: 29 cze 2010, 19:25
autor: Szczotek
Hej
Mam taki problem. Potrzebuje wyciac pakiety DHCP na dwoch portach. Dokladnie miedzy G1 i G2. Miedzy innymi portami moga sobie biegac pakiety - nawet wskazane.
Czytalem ze moge ustawic sobie porty na trusted i untrusted wtedy pakiety z portu untrusted nie sa przekazywane dalej.
Pytanie tylko jak zdefiniowac porty jako trusted i untrusted w tym switchu o ile sie da
Ewentualnie ACL jakis stworzyc na porty (tylko na dane IP widzialem).
: 29 cze 2010, 21:11
autor: mm2006
Co jest podpięte do tych portów?
: 29 cze 2010, 22:27
autor: mhuba
Witam
To o czym napisałeś trust/untrust jest to DHCP Snooping.
Możesz o nim poczytać tu
link.
Co do ACL, DHCP używa dwóch portów UDP: 68 i 67. Pakiety wysyłane przez klienta mają port źródłowy 68 i port docelowy 67 te wysłane przez serwer odwrotnie.
Pozdrawiam
hm
: 29 cze 2010, 22:44
autor: mm2006
Co do DHCP snooping to nie wiemy jeszcze które rodzaje wiadomości DHCP autor chce blokować. Pozatym ten linksys chyba tego nie obsługuje. Za to ACLe ma więc to chyba najlepsza opcja.
Tutaj opis konfiguracji:
http://www.cisco.com/en/US/products/ps9 ... 63de.shtml
: 30 cze 2010, 09:16
autor: Szczotek
Witam
Generalnie chce wyciac calkowicie DHCP zeby mi nie robilo problemow na sieci.
W skrocie po stronie G1 bedzie jeden serwer DHCP a po stronie G2 drugi serwer DHCP.
Miedzy tymi portami musze miec normalny dostep do sieci lan, wazne jest zeby IPX przechodzil. Po prostu dwa biura bede laczyl gigabitem a mamy dwa lacza z zewnetrznym IP.
Przy dwoch serwerach pakiety beda nam sie wymieniac i nie wiadomo z ktorego biura dostanie brame. Moglbym zrobic statyczne adresy ale wiadomo jak to z laptopami i telefonami.
Generalnie ACL wydaje sie najlepszym rozwiazaniem. Bede musial wyciac 67 i 68 UDP w dwie strony na tych portach. O wlasnie bede musial sprawdzic czy moge wycinac ruch na poszczegolnych portach ale to jak bede przy przelaczniku. Niestety nie wiem czy dzisiaj dam rade sie w niego wlogowac.
Przepraszam moderatora
Myslalem ze SRW zalicza sie do Cisco, w przypadku dystrybucji zaliczaja tego Linksysa jako sprzet Cisco
: 30 cze 2010, 09:39
autor: garfield
Szczotek pisze:....
Myslalem ze SRW zalicza sie do Cisco, w przypadku dystrybucji zaliczaja tego Linksysa jako sprzet Cisco
i to jest właśnie przerażające
: 30 cze 2010, 09:49
autor: mhuba
Witam
Możesz też pomyśleć o rezerwacji IP<>MAC na serwerach DHCP.
Pozdrawiam
hm
: 30 cze 2010, 09:52
autor: Kyniu
Szczotek pisze: Myslalem ze SRW zalicza sie do Cisco, w przypadku dystrybucji zaliczaja tego Linksysa jako sprzet Cisco
Przetłumaczyć, powielić, wydrukować na wielkich plakatach i wysłać do Pana Johna Chambersa.
Kyniu
: 01 lip 2010, 22:34
autor: Szczotek
mm2006 pisze:Co do DHCP snooping to nie wiemy jeszcze które rodzaje wiadomości DHCP autor chce blokować. Pozatym ten linksys chyba tego nie obsługuje. Za to ACLe ma więc to chyba najlepsza opcja.
Tutaj opis konfiguracji:
http://www.cisco.com/en/US/products/ps9 ... 63de.shtml
Dzieki za linka. Kombinowalem wczesniej z ACL tylko brakowalo mi wyboru portow. Teraz widze ze w security powinienen miec ta opcje (jutro sprawdze).
Jak sie pobawie to opisze efekty ale raczej pozytywne beda
