Ноябрь 15th, 2009 | рубрики
sysadmin
Если у вас достаточно большая локальная сеть, и в ней появляются несанкционированные DHCP-серверы, это может стать большой проблемой.
Например, у вас несколько тысяч абонентов. Вся сеть разбита на подсети (пускай по 24-й маске). IP-адреса у всех отдаются по DHCP. Все хорошо. И вот, в сети появляется проблема – абоненты получают какие-то "левые" IP и не работают.
Как правило, причина подобных "приколов" – Wi-Fi-ки. Обычно, это роутеры с беспроводным модулем. По умолчанию в них включен DHCP-сервер, а при установке народ обычно сильно не вникает в суть дела. Как результат, через такую железку ваша сеть включается в домашнюю локалку, а сама железка активно раздает всем адреса из серии 192.168.х.х. Естественно, все начинает работать через "универсальный интерфейс".
Один из способов решения – блокировать DHCP-трафик от сервера на портах коммутатора, где такого трафика не должно быть. Предположим, что сеть построена на управляемых D-Link’ах, и каждый дом включен в свой отдельный порт.
В таком случае можно сочинить простой firewall:
create access_profile ip udp src_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 6 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
в таком примере разрешен трафик с порта 25 (это наш uplink в сторону сервера), а на остальных портах DHCP-трафик будет блокироваться. Таким образом, бесчинства неправильно настроенной "вайфайки" будут локализованы в пределах одного дома (порта).
Popularity: 5%