[GTER] Duvida elementar sobre PPPoE

Rubens Kuhl rubensk at gmail.com
Sat Mar 28 20:17:07 -03 2015 

>
> Uma dúvida sobre o DHCP é a seguinte, e se o usuário fixar o IP dele que
> deveria ser dinâmico. Como contornar e evitar?
>

O que eu fazia era controle de ARP. O ARP do gateway era reply-only (ele
respondia perguntas ARP para seu IP, mas nunca perguntava o MAC de nenhum
outro IP), e a tabela era preenchida pelas respostas do servidor DHCP.
Assim, nenhum pacote voltava para quem não tinha feito uma requisição DHCP
que tivesse sido aprovada.

Em RouterOS, onde isso foi feito, era algo parecido com
/interface ethernet set 1 arp=reply-only
/ip dhcp-server add-arp=yes



>
> Em um cenário que tenho rodando, os clientes estão todos conectados a
> switches, ou seja, rede P2P.
> Nosso sistema configura a porta do switch automaticamente quando o cliente
> é provisionado. Ele sobe comandos como:
>
> interface FastEthernet0/12
>
>  description id_10041_name_cliente_ltda_
>
>  switchport access vlan 6
>
>  switchport mode access
>
>  switchport protected
>
>  switchport port-security
>
>  switchport port-security maximum 5
>
>  switchport port-security aging time 30
>
>  switchport port-security violation restrict
>
>  switchport port-security aging type inactivity
>
>  no snmp trap link-status
>
>  storm-control action shutdown
>
>  no cdp enable
>
>  spanning-tree portfast
>
>  spanning-tree bpdufilter enable
>
>  ip dhcp snooping limit rate 10
>
>
> A vlan 6 neste caso é a VLAN do provedor para clientes PME.
> Tem um DHCP server rodando nesta VLAN, entregando um IP de um /26, ou
> quando é cliente com ip fixo indicamos o ip que ele deve configurar no
> roteador.
>
> Funciona bem. A velocidade é controlada nesta configuração do switch
> (apesar de que nao estou vendo nenhum controle de velocidade neste exemplo
> que colei acima. Enfim, não sou o especialista. Mas sei que funciona).
>

O DHCP Snooping do IOS resolve uma parte dos problemas, mas para a parte de
ARP precisaria ligar o DAI (Dynamic Arp Inspection), que parece que ficou
faltando. Ele é um complemento para atrelar as requisições ARP à tabela que
é montada pelo DHCP Snooping.



Rubens

More information about the gter mailing list