DHCP

[md5]

Доброго времени суток!

Столкнулся с такой штукой!

На свичах 3028 настроил acl, принимать бродкаст с определенного порта по udp 67
С остальных портов закрыл, на случай если люди роутер не правильно включат

IP с маской и шлюзом получают нормально, но вот какие то левые днс-ы в сети появились...

Как так может быть ? Подскажите гуру великие...
Либо же кто работал с таким оборудованием пример dhcp relay настроить

[VitalVas]

config traffic_segmentation 1-24 forward_list 25-28
config traffic_segmentation 25-28 forward_list 1-28

[Aivanzipper]

Доброго времени суток!

Столкнулся с такой штукой!

На свичах 3028 настроил acl, принимать бродкаст с определенного порта по udp 67
С остальных портов закрыл, на случай если люди роутер не правильно включат

IP с маской и шлюзом получают нормально, но вот какие то левые днс-ы в сети появились...

Как так может быть ? Подскажите гуру великие...
Либо же кто работал с таким оборудованием пример dhcp relay настроить

DHCP-сервер отдает адреса DNS-ов наряду с default gateway. Если адреса ДНСов у клиентов не правильные - смотрите конфиг DHCP. А в сети может быть сколько угодно ДНС-серверов, на работу сети это не повлияет, т.к. клиент должен обратиться к ДНС-серверу по протоколу IP.

[md5]

Доброго времени суток!

Столкнулся с такой штукой!

На свичах 3028 настроил acl, принимать бродкаст с определенного порта по udp 67
С остальных портов закрыл, на случай если люди роутер не правильно включат

IP с маской и шлюзом получают нормально, но вот какие то левые днс-ы в сети появились...

Как так может быть ? Подскажите гуру великие...
Либо же кто работал с таким оборудованием пример dhcp relay настроить

DHCP-сервер отдает адреса DNS-ов наряду с default gateway. Если адреса ДНСов у клиентов не правильные - смотрите конфиг DHCP. А в сети может быть сколько угодно ДНС-серверов, на работу сети это не повлияет, т.к. клиент должен обратиться к ДНС-серверу по протоколу IP.

=) Ты так сказал как будто я до этого не проверил.. Я четко ясно написал что днс-ы левые, не мои корое должны быть!

[stix]

нужно сниффером проверить от какого DHCP сервера были приняты настройки и какие летают в сети.
может это в релее забиты они, и он их так передает

а может хомяк вражина настроил у себя dhcp и воткнул кабель в wan

[Aivanzipper]

=) Ты так сказал как будто я до этого не проверил.. Я четко ясно написал что днс-ы левые, не мои корое должны быть!

Я не знал что ты проверил. А из написаного не было понятно:

какие то левые днс-ы в сети появились...

[md5]

config traffic_segmentation 1-24 forward_list 25-28
config traffic_segmentation 25-28 forward_list 1-28

config traffic_segmentation 25-28 forward_list 1-28

это к чему ?

[VitalVas]

config traffic_segmentation 1-24 forward_list 25-28
config traffic_segmentation 25-28 forward_list 1-28

config traffic_segmentation 25-28 forward_list 1-28

это к чему ?

обратный траффик

пускать трафик с 1-24 в 25-28
пускать трафик с 25-28 в 1-28

[md5]

config traffic_segmentation 1-24 forward_list 25-28
config traffic_segmentation 25-28 forward_list 1-28

config traffic_segmentation 25-28 forward_list 1-28

это к чему ?

обратный траффик

пускать трафик с 1-24 в 25-28
пускать трафик с 25-28 в 1-28

Тогда смысла не вижу в конфигурации этой...
Либо пускать только туда трафик! Все равно нетбиос закрыт

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 26-28 forward_list 25

на 25-й приходит волокно! А вот с 25-го 1-28
Думаю так будет правельнее

[VitalVas]

Тогда смысла не вижу в конфигурации этой...
Либо пускать только туда трафик! Все равно нетбиос закрыт

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 26-28 forward_list 25

на 25-й приходит волокно! А вот с 25-го 1-28
Думаю так будет правельнее

так работать не будет
config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-28

первой командой разрешаешь трафик с портов 1-24,26-28 к порту 25
второй командой разрешаешь трафик с порта 25 на все порты
без второй команды работать инет не будет

т.е. первая команда выпускает пакеты в нет, вторая разрешает пакеты с нета к юзерам

сегментация трафика не работает на том влане, на котором поцеплен адрес управления(можно смело конфигурить удаленно)

эта функция очень хороша тем, что изолирует всех пользователей и не дает "срать" в сеть
можно еще таким образом ограничивать доступ к сервисам определенным портам в пределах одного коммутатора без всяких там  vlan-ов

[md5]

Тогда смысла не вижу в конфигурации этой...
Либо пускать только туда трафик! Все равно нетбиос закрыт

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 26-28 forward_list 25

на 25-й приходит волокно! А вот с 25-го 1-28
Думаю так будет правельнее

так работать не будет
config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-28

первой командой разрешаешь трафик с портов 1-24,26-28 к порту 25
второй командой разрешаешь трафик с порта 25 на все порты
без второй команды работать инет не будет

т.е. первая команда выпускает пакеты в нет, вторая разрешает пакеты с нета к юзерам

сегментация трафика не работает на том влане, на котором поцеплен адрес управления(можно смело конфигурить удаленно)

эта функция очень хороша тем, что изолирует всех пользователей и не дает "срать" в сеть
можно еще таким образом ограничивать доступ к сервисам определенным портам в пределах одного коммутатора без всяких там  vlan-ов

Это понятно, хватило только первых двух команд, так как по дефолту сегментация на включена на все порты

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 26-28 forward_list 25

а на 25-м как и говорил на все порты

[m_vagabov]

Тогда смысла не вижу в конфигурации этой...
Либо пускать только туда трафик! Все равно нетбиос закрыт

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 26-28 forward_list 25

на 25-й приходит волокно! А вот с 25-го 1-28
Думаю так будет правельнее

так работать не будет
config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-28

первой командой разрешаешь трафик с портов 1-24,26-28 к порту 25
второй командой разрешаешь трафик с порта 25 на все порты
без второй команды работать инет не будет

т.е. первая команда выпускает пакеты в нет, вторая разрешает пакеты с нета к юзерам

сегментация трафика не работает на том влане, на котором поцеплен адрес управления(можно смело конфигурить удаленно)

эта функция очень хороша тем, что изолирует всех пользователей и не дает "срать" в сеть
можно еще таким образом ограничивать доступ к сервисам определенным портам в пределах одного коммутатора без всяких там  vlan-ов

yadi.sk/i/-f10KGvauKchh