sslug-teknik team mailing list archive

Thread
Date

Re: Detektering af dhcp servere

To: sslug-teknik@xxxxxxxx
From: "John Rua" <john@xxxxxx>
Date: Fri, 4 Apr 2008 13:23:15 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <47F5BB2C.5090606@skydebanen.net>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: john.rua@xxxxxxxxx

hej

her er min løsning hjemme i bolignetværket.

jeg har 120 brugere på 6  switche.
allied telesyn at8724xl

jeg bruger dhcp serveren indbygget i hver switch (alle seks)

model 1. alle porte på samme vlan og hver som 'protected' eller
'private' untagged porte.
dette vlan har et subnet, som alle brugere får tildelt adresse i. -
samme vlan tilgår router og
termineres der. Du kan bruge en central dhcp server, eller den
indbyggede i hver switch.

model 2. hver port sit subnet, og dermed hver bruger sit subnet, igen
alle vlan til router.

subnet iøvrigt er alle ud fra 172.16.0.0/12 serien for at undgå
sammenfald med de mest almindelige brugte (10.0.0.0/8 og
192.168.0.0/16)

sidste model er i brug i dag for at sikre bruger-id for opfyldelse af
logningsbekendtgørelsen.
seks dhcp servere og fra ip-adressen kan læses switch og port nummer.

mvh
john

04/04/08 skrev Martin Pihl Jensen <martin@xxxxxxxxxxxxxx>:
> Jon Bendtsen skrev:
>
>
> > > Efter at have koblet tre fejltilsluttede trådløse routere fra på en >
> enkelt weekend, fik jeg i hvert fald taget mig sammen til at sætte > filtre
> på switchene på vores netværk ;-)
> >
> > Fortæl lidt mere om det, andre kan sikkert også bruge den viden.
> >
> >
>  De lidt mere avancerede switche indeholder faciliteter som gør det muligt
> at filtrere på lag 3/4. Som Stig Larsen skriver i et andet indlæg, blokerer
> man for port 67 (UDP) på de porte som brugerne er koblet på.
>
>  Hos nogle switch-fabrikanter har man noget som kaldes for DHCP-snooping,
> der gør netop dette. Det gælder fx for Hewlett Packards switche i
> 2600-serien og bedre (kræver dog en firmware-opdatering).
>
>  I min andelsboligforening bruger vi switche fra Extreme Networks (Summit
> 200), og her skal filteret etableres vha. access-control-lister (ACL'er).
>
>  Endelig kan man, hvis udstyret gør det muligt, route til hver bruger. Det
> vil sige at hver bruger for sit eget subnet. Da broadcast-pakker ikke går på
> tværs af subnet, skal der så til gengæld gøres noget specifikt for at få
> DHCP frem og tilbage mellem brugerne og serveren -- dette kaldes for
> DHCP-relay. I opsætningen af DHCP-relay tillader man så kun trafik for den
> autoritative DHCP-server.
>
>  Så kan jeg ikke komme på flere måder.
>
>
>
>  /Martin
>
>  --
>  Martin Pihl Jensen | martin@xxxxxxxxxxxxxx
>
>
>

Follow ups

Re: Detektering af dhcp servere
From: Stig Larsen, 2008-04-05

References

Detektering af dhcp servere
From: Philip, 2008-04-03
Re: Detektering af dhcp servere
From: Martin Pihl Jensen, 2008-04-03
Re: Detektering af dhcp servere
From: Jon Bendtsen, 2008-04-03
Re: Detektering af dhcp servere
From: Martin Pihl Jensen, 2008-04-04