← Back to team overview

sslug-teknik team mailing list archive

Re: Detektering af dhcp servere

 

Jon Bendtsen skrev:

> Efter at have koblet tre fejltilsluttede trådløse routere fra på en > enkelt weekend, fik jeg i hvert fald taget mig sammen til at sætte > filtre på switchene på vores netværk ;-)

Fortæl lidt mere om det, andre kan sikkert også bruge den viden.

De lidt mere avancerede switche indeholder faciliteter som gør det muligt at filtrere på lag 3/4. Som Stig Larsen skriver i et andet indlæg, blokerer man for port 67 (UDP) på de porte som brugerne er koblet på.

Hos nogle switch-fabrikanter har man noget som kaldes for DHCP-snooping, der gør netop dette. Det gælder fx for Hewlett Packards switche i 2600-serien og bedre (kræver dog en firmware-opdatering).

I min andelsboligforening bruger vi switche fra Extreme Networks (Summit 200), og her skal filteret etableres vha. access-control-lister (ACL'er).

Endelig kan man, hvis udstyret gør det muligt, route til hver bruger. Det vil sige at hver bruger for sit eget subnet. Da broadcast-pakker ikke går på tværs af subnet, skal der så til gengæld gøres noget specifikt for at få DHCP frem og tilbage mellem brugerne og serveren -- dette kaldes for DHCP-relay. I opsætningen af DHCP-relay tillader man så kun trafik for den autoritative DHCP-server.

Så kan jeg ikke komme på flere måder.


/Martin

--
Martin Pihl Jensen | martin@xxxxxxxxxxxxxx


Follow ups

References