место в рейтинге
  • 237111
  • 617
  • 63
Нравится блог?
Подписывайтесь!

Cisco и rogue DHCP

Утро началось со звонка с конторы: ааа, ничего не работает, компьютеры в сети получают левый IP. Добавил SVI на L3-свитче, пинганул предполагаемый шлюз, отловил MAC левого DHCP-сервера и отключил порт. А потом вспомнил, что давно собирался поднять DHCP-snooping, да как-то не собрался. DHCP-snooping блокирует ответы DHCP с untrusted-портов - и такого бы просто не случилось(по умолчанию все порты untrusted).

И было всё довольно просто:


Switch(config)# ip dhcp snooping 
Switch(config)# ip dhcp snooping vlan number [number]
Switch(config)# int range ...
Switch(config-if)# ip dhcp snooping trust

Первая команда запускает сам снупинг, вторая указывает VLAN-ы, а третья-четвёртая - указывает те порты, с которых могут приходить ответы. Для релэя(и терминации VLAN-ов) у меня отдельный свитч, к которому пользовательские ПК не подключены, иначе пришлось бы и там пускать снупинг и в режиме конфигурации SVI вводить:


Switch(config-if)# ip dhcp relay information trusted

Для того, чтобы проверить, работает ли оно как надо, можно вбить:

Switch# sh ip dhcp snooping binding

И покажет примерно такую байду:

Option 82 on untrusted port is not allowed
MacAddress          IpAddress        Lease(sec)  Type     VLAN  Interface
------------------  ---------------  ----------  -------  ----  --------------------
00:1F:29:DC:90:D0   192.168.40.39    430         dynamic  401   FastEthernet0/40
00:1F:29:DC:6D:43   192.168.52.63    526         dynamic  413   FastEthernet0/41
00:13:21:D2:E6:3A   192.168.52.78    374         dynamic  413   FastEthernet0/45
00:30:05:6A:CF:E0   192.168.52.79    504         dynamic  413   FastEthernet0/27
00:18:8B:13:16:25   192.168.52.62    575         dynamic  413   FastEthernet0/33
00:30:05:8B:FE:C2   192.168.51.41    308         dynamic  412   FastEthernet0/32

agabekov
Sith apprentice
28 февраля 2011, 13:20
1141

Loading...

Комментарии

best
0
0
хотел бы я понять что ты вверху написал))
Смысловая нагрузка в том, что нашёл левый DHCP-сервер(точнее, его мак). Отключить порт зная мак - на циске уже дело техники.
best
0
0
большая контора?
Скорее, small-to-medium - 500-1000 портов.
ранее занимался cisco, и другим активным сетевым оборудованием, сейчас ушел в GSM и ужасно жалею, хочу обратно в маршрутизацию, только все забыл (, Вы сетевой админ большой конторы? )
Скорее мелко-средней :)

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Самый большой провайдер в стране: методы работы с клиентами от «Казахтелеком»

Самый большой провайдер в стране: методы работы с клиентами от «Казахтелеком»

История о том, как Народный провайдер наваривается на своих клиентах, намерено не отключая услуги, и беря лишние деньги за ненужные и не оказываемые услуги.
ligaspravedlivosti
17 нояб. 2017 / 19:12
  • 32887
  • 194
Бесспорные доказательства – путь к упрощенному судопроизводству

Бесспорные доказательства – путь к упрощенному судопроизводству

В Казахстане введен институт упрощенного (письменного) судопроизводства, который позволяет повысить доступность правосудия и сократить сроки рассмотрения дел.
mark_iceberg
20 нояб. 2017 / 15:49
  • 15344
  • 3
«Почему я не хочу встречаться с мужчинами-казахами»

«Почему я не хочу встречаться с мужчинами-казахами»

Заранее отпишусь, данный пост не является попыткой оскорбить собственную нацию) Как говорится о вкусах не спорят, каждому свое.
Bonittta
16 нояб. 2017 / 14:28
  • 16681
  • 372
Новшества на орбите уголовного правосудия

Новшества на орбите уголовного правосудия

Недавно я приняла участие в международной конференции по модернизации уголовного процесса, прошедшей в Бурабае. В чем значимость данных реформ для обычного казахстанца?
mirabeisenova
20 нояб. 2017 / 16:22
  • 12191
  • 3
Почему катастрофический отток интеллектуальной элиты не тревожит Астану?

Почему катастрофический отток интеллектуальной элиты не тревожит Астану?

Как сообщает телеканал КТК, только за последние девять месяцев Казахстан покинули 28200 человек, из них почти пять тысяч инженеров, около 2700 экономистов и 1700 учителей.
openqazaqstan
17 нояб. 2017 / 11:00
  • 11933
  • 59
Задержан казахстанец, продававший детей в сексуальное рабство в ОАЭ и Бахрейн

Задержан казахстанец, продававший детей в сексуальное рабство в ОАЭ и Бахрейн

Подтверждаются худшие предположения, циркулирующие в соцсетях. Периодические исчезновения детей в разных регионах Казахстана объясняются не только семейными проблемами и «синими китами».
openqazaqstan
16 нояб. 2017 / 15:46
  • 8339
  • 57
О «топ-30», «топ-50» и прочих понтах можно пока забыть

О «топ-30», «топ-50» и прочих понтах можно пока забыть

В объективности выводов швейцарского банка Credit Suisse усомниться трудно – его экономические рейтинги относятся к самым авторитетным и их явно трудно упрекнуть в предвзятости
openqazaqstan
18 нояб. 2017 / 17:21
  • 7671
  • 87
Атамбаев под занавес президентства сделал всё, чтобы сжечь мосты

Атамбаев под занавес президентства сделал всё, чтобы сжечь мосты

На своей итоговой пресс-конференции в понедельник уходящий кыргызский президент говорил не об итогах своей деятельности, а о «плохом» Казахстане.
openqazaqstan
21 нояб. 2017 / 18:36
«Смех сквозь слезы», или 7 причин не любить Алматы

«Смех сквозь слезы», или 7 причин не любить Алматы

Жизнь в Алматы не всегда сладкая, как сахарная вата и мультики субботним утром. В этой ироничной статье автор блога «Almaty — My First Love» расскажет о семи причинах не любить Алматы.
AlmatyMyLove
20 нояб. 2017 / 13:12
  • 2543
  • 70