dhcp snooping

hp 1810 sviçdir..dhcp snooping ve option 82 funksiyalari olmadigina gore diger terefden gelen dhcp sorgulari problem yaradir ne etmek olar ?

Səs: 0. Bəyənilsin Zəifdir

Baxılıb: 2695 dəfə

Cavablar ( 14 )

  1. Sizdə konkret olara

  2. Sizdə konkret olaraq problem nedir ? Və neçə DHCP serveriniz var?

    • Emil Aliyev / . Dərc edilib:A 20/04/2016 at 12:44 Axşam
      Səs: 0. Bəyənilsin Zəifdir

    salam..problem ondan ibaretdir ki,klientler bu svicden internet alirlar….ve oz routerlerinde hansisa klient wan cixarib lana qosanda hemin klientin routeri ip paylayir ve bu svice qosulan diger klientlere de tesir edir diger klientler de hemin sehv qosan klientin routerinden ip alirlar…ve internete cixa bilmirler..

    1. Sizdə WAN dan gələn xətt hansı avadanlığa qoşulub?
    2. Sizdə bu HP switch hansi avadanılğa qoşulub?
    3. Siz clientin routeri dedikdə nəyi nəzərdə tutursuz?
    4. DHCP server neyin uzerinde qurulub?
    5. Bütün istifadəçilər bir VLAN dir?
    6. Zəhmət olmasa topologiyanı ümumi təsvir edərdiniz

     

  5. Salam.

    Sistemde nece dene router var ? Diger switchlerin idaresi sizin ixtiyarinizdadir ?

    Eger eledirse bir routerde DHCP aktif et, sadece hemin router ip paylasin. Digerlerinde disable et.. Lana qoşsalarda ip paylamasinlar.

    • Emil Aliyev / . Dərc edilib:A 20/04/2016 at 4:17 Axşam
      Səs: 0. Bəyənilsin Zəifdir

    Qardaslar atsden xett gelir qosulur svice svicden qosulur servere ve serverden yeniden qayidir svice bu oz yerinde…svicde olan clientler eyni bir vlandadilar..onlari ayri vlana da salmaq olar bu hec…sadece olaraq mesele burasindadirki bu svicden sonra unmanagement svicler dayanir…ve burda 500-den cox client qosulur….ve her bir client internet alir bizden….hansisa bir client oz routerinden wan porta qosulan xetti cixarib lan porta qosanda hemin clientin routeri dhcp ip payladigina gore artiq svicin diger portundaki clientlere de tesir gosterir ve neticede saxta dhcpden ip aldiqlarina gore onlarda internet problemi yaranir…

  7. Salam Emil bəy.

    Zəhmət olmasa, Cavid bəyin suallarını cavablandırın. Əlavə olaraq bilgisayarlar domain və ya homegroup olduqunu da əlavə edin. Struktur haqqında təsəvvür yaranmadan dəqiq cavablandırmaq çətin olur.

    Əgər domain mühitində işləyirlərsə, DHCP serveri Autorizasiya etməlisiniz ki, domain istifadəçiləri ancaq həmin serverdən İP alsınlar.

    http://www.technet.az/2015/04/25/dhcp-snooping/

    Uqurlar.

    • Emil Aliyev / . Dərc edilib:A 21/04/2016 at 2:31 Axşam
      Səs: 0. Bəyənilsin Zəifdir

    Bir daha salam…umumi topologiyani yaziram..Demeli Serverdir..Vmware Esxi Icerisine PFsense yazilib…atsden gelen xett qosulur servere serverden qayidir..svice….ve svicden xetler gedir abonentlere….indi her bir abonentin oz sexsi routeri var ….ve onlar bizden internet alirlar…hansisa abonent oz routerinde wana qosulan xetti cixarib lana qosanda tebii ki,hemin abonentin routeri ip payladigina gore artiq bu qayidir bas svice …ve bu ise svicin diger portlarina da hemcinin diger portlara qosulan abonentlere de tesir gosterir…bu problemin olmamasi ucun ya dhcp snooping ya option 82 den istifade etmek lazimdir …bu ise svicde yoxdur..bir helli odur ki.bu portlari ayri ayri vlanlara salmaq olar hemin vaxt dhcp qalxsa artiq bir erazide bir vlan daxilinde qalxmis olacaq …indi men isteyirem ki,bunlar bir vlanda olmaq serti ile hamisi eyni vlanda olmaq serti ile yeni svicin portu qarsi terefden gelen dhcp serveri bloklasin..

  9. Emil bəy salam,

    Sizin izah etdiyiniz vəziyyətdə DHCP Snoopingdən başqa Port ACL-dən istifadə edə bilərsiniz. İstifadəçilərin qoşulduğu porta ACL yazıb DHCP offer tipli traffiki blok edə bilərsiniz. Əlavə sual olarsa buyurun.

     

    Hörmətlə,

    Rizvan Bayramov

    • Emil Aliyev / . Dərc edilib:A 22/04/2016 at 11:50 Axşam
      Səs: 0. Bəyənilsin Zəifdir

    Hp 1810 svicinde acl da yoxdur..bilmirsiz yeni versiyalarinda update yaxud upgrade elesek geler bu funksiyalar?

  11. Burda hardware -ni dəyişməkdən başqa əlac qalmır , mən belə düşünürəm

  12. Emil bəy,

    Xeyir, sizin bu vəziyyətdə upgrade də kömək etməyəcək. DHCP Snoopingi dəstəkləyən avadanlığ gərəkdir.

     

    Hörmətlə,

    Rizvan

      • Emil Aliyev / . Dərc edilib:A 26/04/2016 at 5:46 Axşam
        Səs: 0. Bəyənilsin Zəifdir

      Rizvan bey konfiqurasiya bu curdur ?

       

       

      ip access-list extended Deny_DHCP
      deny udp any any eq bootpc
      deny udp any any eq bootps

      interface FastEthernet1/0/23
      ip access-group Deny_DHCP in

       

      men istiyirem ki,misalcun 23-cu porta qayidan dhcp sorgulari drop olsun

      • Emil bəy,

        DHCP İP adres təyin edilməsi zamanı Client UDP port 68, Server isə UDP port 67 istifadə edir. Yəni server sorğulara cavab verdiyi zaman mənbə (source) port kimi 67 istifadə edir. Bunları nəzərə alaraq aşağıdakı kimi ACL yoxlaya bilərsiniz:

         

        ip access-list extended DENY_DHCP_OFFER
        deny udp any eq 67 any
        permit ip any any

        interface FastEthernet1/0/23
        ip access-group DENY_DHCP_OFFER in

         

        Bundan başqa alternativ kimi, Cisco avadanlıqlarında VLAN ACL də istifadə oluna bilər. Bu üsulun isə başqa istehsalçı avadanlıqlarında mövcudluğunu dəqiq deyə bilməyəcəyəm.

        P.S.  Yuxarıdakı ACL yoxladıqdan sonra nəticəni bizimlə bölüşməyi unutmayın 🙂

         

        Hörmətlə,

        Rizvan Bayramov

Cavab yazın