madbest 10 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 Hallo wier haben ein VLAN vom dem aus nur Surfen erlaubt sein soll, Der Teil der ACL für das Surfen geht auch. Nach langen anlasysieren habe ich auch herausgefunden wie das ganze mit DHCP geht das die Clients eine IP bekommen. Hier mal meine Varieante access-list 100 permit udp any host 255.255.255.255 range bootps bootpc Nun meine Frage gibt es hier auch noch eine andere Lösung?? Am Anfang sa die ACL so aus access-list 100 permit udp xx.yy.zz.0 0.0.0.255 host hh.bb.dd.ee range bootps bootpc Aber da wurde immer die Anfrage deny gemacht weil ja der Client noch keine IP aus dem Bereich xx.yy.zz.0 hatte. Ah ja ACL liegt auf einen 4500 Cisco Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 das kann auf diesem Weg nicht anders ehen weil der Client nun mal noch keien Source IP besitzt. Andere Lösungen wären dann zB via 802.1X und dessen Gast VLAN. Was so und so (also 802.1X allgemein) eien gute Idee ist Zitieren Link zu diesem Kommentar
madbest 10 Geschrieben 7. November 2009 Autor Melden Teilen Geschrieben 7. November 2009 Wien meinst du das genau??? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 Hi, du machst ein Gast VLAN (surfen) und ein VLAN (Normal) - die Clients melden sich per 802.1x (MAC oder User Auth) an und wenn sie sich nicht anmelden landen sie im Gast VLAN. Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 Die Frage ist, warum du ein Problem damit hast? Ich sehe kein Risiko darin, dass jeder Client aus dem Subnetz auf die Broadcast-Adresse mit den BootP Ports darf. Falls du auf dem Interface auch noch eine OUT ACL gebunden hast, musst du halt die Antwort des DHCP Servers auch noch frei schalten. Achtung, das ist ein anderer Port (eine Nummer höher glaube ich) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 Die Frage ist, warum du ein Problem damit hast?Ich sehe kein Risiko darin, dass jeder Client aus dem Subnetz auf die Broadcast-Adresse mit den BootP Ports darf. damit kann jeder ganz leicht den DHCP Server DoSen oder selber DHCP spielen. Von daher wäre DHCP Snooping nicht verkehrt Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 7. November 2009 Melden Teilen Geschrieben 7. November 2009 damit kann jeder ganz leicht den DHCP Server DoSen oder selber DHCP spielen. Von daher wäre DHCP Snooping nicht verkehrt Richtig - aber das hat ja nichts mit der ACL auf dem L3-Device an sich zu tun :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.