В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

D-Link Russia

1354 membersпожаловаться на группу
2019 August 27

AN

Andrew Nikolaev in D-Link Russia
Dr. Proliant
Всем гуру D-Link здравствуйте! Подскажите, почему D-Link предлагает реализацию DHCP Soop через ACL, когда есть для этого специальная настройка?
Начать стоит с того, что ipmb dhcp_snoop на acl на фильтрацию трафика не занимает ресурсов проца, производит ее на весь трафик, ресурсами матрицы, т.е. без задержек н апродвижение трафика, иначе гвооря, на скорости провода. На этом можно и закончить..
источник
11:50пожаловаться#1

IK

Ivan Kostyrya in D-Link Russia
Andrew Nikolaev
Начать стоит с того, что ipmb dhcp_snoop на acl на фильтрацию трафика не занимает ресурсов проца, производит ее на весь трафик, ресурсами матрицы, т.е. без задержек н апродвижение трафика, иначе гвооря, на скорости провода. На этом можно и закончить..
Ну, если человек хочет просто, эникей и настроилось, то выглядит оно как то так: http://dlink.ru/up//support/FAQ/Switch/dhcp_snooping.pdf
источник
11:51пожаловаться#2

DP

Dr. Proliant in D-Link Russia
Andrew Nikolaev
Начать стоит с того, что ipmb dhcp_snoop на acl на фильтрацию трафика не занимает ресурсов проца, производит ее на весь трафик, ресурсами матрицы, т.е. без задержек н апродвижение трафика, иначе гвооря, на скорости провода. На этом можно и закончить..
Спасибо!
источник
11:52пожаловаться#3

IK

Ivan Kostyrya in D-Link Russia
Тут про сам DHCP снупинг, если речь про защиту от стороннего серва, т.е. сервер скрининг: https://www.youtube.com/watch?v=0lAzRfFtYSg
YouTube
DHCP Server Screening - Описание и пример работы
Описание функционала DHCP Server Screening и синтаксиса настройки.
Функционал является не новым, но не всегда используемым. На примере приведена типовая настройка провайдера для исключения подмены сервера DHCP, а так же простых способов сканирования сети.

Использованный синтаксис:

config filter dhcp_server ports 1-24 state enable
config filter netbios 1-24 state enable
config filter extensive_netbios 1-24 state enable

enable syslog
create syslog host 1 ipaddress 10.90.90.99 severity debug state enabl

config filter dhcp_server add permit server_ip 192.168.1.1 ports 25
config filter dhcp_server trap_log enable
источник
11:53пожаловаться#4

DP

Dr. Proliant in D-Link Russia
Ivan Kostyrya
Тут про сам DHCP снупинг, если речь про защиту от стороннего серва, т.е. сервер скрининг: https://www.youtube.com/watch?v=0lAzRfFtYSg
YouTube
DHCP Server Screening - Описание и пример работы
Описание функционала DHCP Server Screening и синтаксиса настройки.
Функционал является не новым, но не всегда используемым. На примере приведена типовая настройка провайдера для исключения подмены сервера DHCP, а так же простых способов сканирования сети.

Использованный синтаксис:

config filter dhcp_server ports 1-24 state enable
config filter netbios 1-24 state enable
config filter extensive_netbios 1-24 state enable

enable syslog
create syslog host 1 ipaddress 10.90.90.99 severity debug state enabl

config filter dhcp_server add permit server_ip 192.168.1.1 ports 25
config filter dhcp_server trap_log enable
Это и требовалось, спасибо. А по скорости что быстрее будет работать данный метод, либо через ACL
источник
11:57пожаловаться#5

IK

Ivan Kostyrya in D-Link Russia
Для рядового пользователя на обычной сети - разница не ощущается, а включить проще
источник
11:59пожаловаться#6

S

Stanislav in D-Link Russia
Ivan Kostyrya
Тут про сам DHCP снупинг, если речь про защиту от стороннего серва, т.е. сервер скрининг: https://www.youtube.com/watch?v=0lAzRfFtYSg
YouTube
DHCP Server Screening - Описание и пример работы
Описание функционала DHCP Server Screening и синтаксиса настройки.
Функционал является не новым, но не всегда используемым. На примере приведена типовая настройка провайдера для исключения подмены сервера DHCP, а так же простых способов сканирования сети.

Использованный синтаксис:

config filter dhcp_server ports 1-24 state enable
config filter netbios 1-24 state enable
config filter extensive_netbios 1-24 state enable

enable syslog
create syslog host 1 ipaddress 10.90.90.99 severity debug state enabl

config filter dhcp_server add permit server_ip 192.168.1.1 ports 25
config filter dhcp_server trap_log enable
Screening всеж отдельная  штука ,
источник
12:00пожаловаться#7

IK

Ivan Kostyrya in D-Link Russia
Ну, я его отдельно и вывел
источник
12:00пожаловаться#8

S

Stanislav in D-Link Russia
Я вот правда не знаю на чем он выполняется  аапаратно на матрице или силами cpu
источник
12:00пожаловаться#9

AN

Andrew Nikolaev in D-Link Russia
Dr. Proliant
Это и требовалось, спасибо. А по скорости что быстрее будет работать данный метод, либо через ACL
ACLный более правильный. в ARP режиме комут контролит процом только арпы с порта. и в случае, если слышит "левый" арп, то блочит порт, но продолжает слушать с него арпы. Если услышит правильный - разблочит. Или админ ручками разблочит. ACL режим  крутится на матрице, контролит весь трафик, пропускает трафик от правильных сетевых реквизитов, но блочит от реквизитов, отличающихся от полученных от дхцп. Таким образом, имхо, АЦЛ режим более дружественный.
источник
12:01пожаловаться#10

IK

Ivan Kostyrya in D-Link Russia
ACL не резиновый, профилей на все не напасешься.
источник
12:01пожаловаться#11

AN

Andrew Nikolaev in D-Link Russia
а на 3200 revC их ваще кот наплакал, 4 раза, да? :)
источник
12:02пожаловаться#12

S

Stanislav in D-Link Russia
но штука хорошая , работает хорошо , спасает  от полоумных тыкателей  не тем концом  принесенных на работу  вифи рухтеров.
источник
12:02пожаловаться#13

A

ArRR in D-Link Russia
Ivan Kostyrya
ACL не резиновый, профилей на все не напасешься.
Куда же вы столько профилей используете? :)
источник
12:03пожаловаться#14

IK

Ivan Kostyrya in D-Link Russia
ArRR
Куда же вы столько профилей используете? :)
Ну, примерно вот такое мы сделали на сети, где должен быть только интернет в рамках PPPoE

create access_profile  ethernet  ethernet_type  profile_id 1
config access_profile profile_id 1  add access_id 1  ethernet  ethernet_type 0x806       port 1-28 permit
config access_profile profile_id 1  add access_id 2  ethernet  ethernet_type 0x9000      port 1-28 permit
config access_profile profile_id 1  add access_id 3  ethernet  ethernet_type 0x86DD      port 1-28 deny
config access_profile profile_id 1  add access_id 4  ethernet  ethernet_type 0x8863      port 1-28 permit
config access_profile profile_id 1  add access_id 5  ethernet  ethernet_type 0x8864      port 1-28 permit
config access_profile profile_id 1  add access_id 6  ethernet  ethernet_type 0x8137      port 1-28 deny
create access_profile  ethernet  source_mac 00-00-00-00-00-00  profile_id 5
config access_profile profile_id 5  add access_id 1  ethernet  source_mac 00-00-00-00-00-00  port 25-28 permit
create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-FF  profile_id 10
config access_profile profile_id 10  add access_id 1  ethernet  destination_mac FF-FF-FF-FF-FF-FF  port 1-28 deny
create access_profile  ip  destination_ip 255.240.0.0      profile_id 15
config access_profile profile_id 15  add access_id 1  ip  destination_ip 172.16.0.0       port 1-28 deny
create access_profile  ip  destination_ip 255.255.0.0      profile_id 20
config access_profile profile_id 20  add access_id 1  ip  destination_ip 192.168.0.0      port 1-28 deny
create access_profile  ip  icmp  profile_id 25
config access_profile profile_id 25  add access_id 1  ip  icmp  port 1-28 permit
create access_profile  ip  destination_ip 255.0.0.0        profile_id 30
config access_profile profile_id 30  add access_id 1  ip  destination_ip 10.0.0.0         port 1-28 deny
create access_profile  ip  udp dst_port 0xFFFF    profile_id 35
config access_profile profile_id 35  add access_id 1  ip  udp dst_port 53        port 1-28 permit
config access_profile profile_id 35  add access_id 2  ip  udp dst_port 67        port 1-28 permit
config access_profile profile_id 35  add access_id 3  ip  udp dst_port 68        port 1-28 deny
config access_profile profile_id 35  add access_id 4  ip  udp dst_port 69        port 1-28 deny
config access_profile profile_id 35  add access_id 5  ip  udp dst_port 137       port 1-28 deny
config access_profile profile_id 35  add access_id 6  ip  udp dst_port 138       port 1-28 deny
config access_profile profile_id 35  add access_id 7  ip  udp dst_port 1900      port 1-28 deny
create access_profile  ip  tcp dst_port 0xFFFF    profile_id 40
config access_profile profile_id 40  add access_id 1  ip  tcp dst_port 80        port 1-28 permit
config access_profile profile_id 40  add access_id 2  ip  tcp dst_port 135       port 1-28 deny
config access_profile profile_id 40  add access_id 3  ip  tcp dst_port 139       port 1-28 deny
config access_profile profile_id 40  add access_id 4  ip  tcp dst_port 445       port 1-28 deny
create access_profile  ip  source_ip 255.255.255.0    profile_id 100
config access_profile profile_id 100  add access_id 1  ip  source_ip 10.101.255.0     port 1-28 deny
disable cpu_interface_filtering
источник
12:04пожаловаться#15

IK

Ivan Kostyrya in D-Link Russia
А ещё тв и юрики.
источник
12:04пожаловаться#16

IK

Ivan Kostyrya in D-Link Russia
Да, с верху ещё легли запреты v6. Ну и в целом, профиля всё, кончились =)
источник
12:05пожаловаться#17

IK

Ivan Kostyrya in D-Link Russia
И в рамках этой песни, переносить функционал, который есть отдельно тоже в ACL - не обдуманно.
источник
12:06пожаловаться#18

AS

Alexander S in D-Link Russia
какие до боли знакомые ACL
источник
12:06пожаловаться#19

DP

Dr. Proliant in D-Link Russia
Andrew Nikolaev
ACLный более правильный. в ARP режиме комут контролит процом только арпы с порта. и в случае, если слышит "левый" арп, то блочит порт, но продолжает слушать с него арпы. Если услышит правильный - разблочит. Или админ ручками разблочит. ACL режим  крутится на матрице, контролит весь трафик, пропускает трафик от правильных сетевых реквизитов, но блочит от реквизитов, отличающихся от полученных от дхцп. Таким образом, имхо, АЦЛ режим более дружественный.
круто, значит ACLками и буду делать! У нас они до сих пор не использовались так, что  думаю это будет самым оптимальным решением
источник
12:07пожаловаться#20