Begränsa DHCP förfrågningar(option 82?)

Trädvy Permalänk
Medlem
Plats
Åland, Finland
Registrerad
Aug 2006

Begränsa DHCP förfrågningar(option 82?)

Hej!

Jag har ett problem som jag inte riktigt vet hur jag ska/borde lösa.

Lite titt som tätt så kopplar någon i huset in en router felaktigt och det gör att den börjar skicka ut svar på DHCP förfrågningar i husnätet. Detta blir ju speciellt problematiskt när man får en NAT adress av den istället för en extern från ISP.

Jag har hört att man skall kunna stoppa denna typ av problem med "DHCP option 82" men jag förstår inte riktigt hur detta fungerar, som jag har förstått det så:
-Switchen tar emot DHCP förfrågan från klienten och är konfigurerad att agera DHCP-relay och skickar vidare förfrågan till DHCP servern på ip x.x.x.x istället för att dhcp förfrågan går ut till "alla" och först till kvarn får svara.

Är det så "enkelt" det fungerar, att man endast behöver aktivera dhcp-relay funktion i switchen och ställa in vilken IP den skall relaya förfrågningarna till.
Eller är det så att jag har förenklat detta lite för mycket och missar något i upplägget?

Mvh
Olol

Citera så hittar jag tillbaks och kan ge svar.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Om jag förstår dig rätt så har du problem med att någon kopplar in en extra dhcp-server på någon switchport?
Det stoppar du vare sig med opt82 eller genom att konfigurera "dhcp relay".
Dhcp relay och den tillhörande "relay agent option" är något du konfigurerar i en router - inte i en klassisk switch.

Däremot så finns det en hel del lösningar för att få till det du vill åstadkomma men det krävs en ganska avancerad switch som stödjer t.ex "split horizon" eller "dhcp snooping".

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3...
http://www.cisco.com/c/en/us/td/docs/switches/metro/me3600x_3...

Trädvy Permalänk
Medlem
Plats
Åland, Finland
Registrerad
Aug 2006
Skrivet av madtop:

Om jag förstår dig rätt så har du problem med att någon kopplar in en extra dhcp-server på någon switchport?
Det stoppar du vare sig med opt82 eller genom att konfigurera "dhcp relay".
Dhcp relay och den tillhörande "relay agent option" är något du konfigurerar i en router - inte i en klassisk switch.

Däremot så finns det en hel del lösningar för att få till det du vill åstadkomma men det krävs en ganska avancerad switch som stödjer t.ex "split horizon" eller "dhcp snooping".

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3...
http://www.cisco.com/c/en/us/td/docs/switches/metro/me3600x_3...

Ja, du har förstått helt rätt.
Jag skall kolla igenom cisco dokumentationen och se ifall det finns något motsvarande i switchen jag har.
Tack så länge

Citera så hittar jag tillbaks och kan ge svar.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av olol:

Ja, du har förstått helt rätt.
Jag skall kolla igenom cisco dokumentationen och se ifall det finns något motsvarande i switchen jag har.
Tack så länge

Vad har du för switch?

Trädvy Permalänk
Medlem
Plats
Åland, Finland
Registrerad
Aug 2006
Skrivet av madtop:

Vad har du för switch?

Jag sitter just nu med en BDCOM 2228

Citera så hittar jag tillbaks och kan ge svar.

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2002

DHCP snooping är det du vill ha stöd för i switchen.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Apr 2005

Är det du som ansvarar för konfigurationen?
Har det hänt att folk sätter routern fel och du därför fått problem?
Vad säger ISP? De brukar ha koll på om det finns en DHCP som slänger ut adresser och stänga ner hela anslutningen.

Med vänlig hälsning
Andreas Öhr
Epradius

Teknikkonsult inom elteknik, nätverk, antennteknik, KNX.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av olol:

Jag sitter just nu med en BDCOM 2228

Jag tror säkert switchhelvetet kan lösa det du vill. Men jag blir bara så jävla provocerade över deras (stora röda draken) sätt att helt oblygt stjäla och kopiera andras företags idéer. Jag föreslår att du kontaktar deras support, de lovar ju trots allt "easy maintenance".

Jag vill INTE vara delaktig i underlätta stöld så jag väljer att hoppa av tråden.

För övrigt finns det väl regler på forumet om att man inte ska sprida info som strider mot upphovsrätt.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

I Ciscovärlden kallas det Snooping när switchen endast tillåter dhcputdelning från trusted portar. Då håller den även koll på vilka portar som fått vilka adresser. Samt minskar risken för dhcputsvältning.

Kolla switchens manual efter liknande funktioner