DHCP+SLP

[Антон Бурмистров]

Я раздаю опции SLP DA и SCOPE через DHCP. И всё было прекрасно до тех пор пока не пришлось поднимать фильтрацию пакетов на центральном коммутаторе. Что было сделано:
1 - разрешен трафик в сегмент серверов и из него
2 - настроен dhcp relay
3 - разрешен широковешательный трафик от узлов с адресом 0.0.0.0
4 - запрещен весь остальной трафик

Что имеем:
1 - рабочие станции получают адреса, маски подсети, default gateway
2 - не получают никакой информации про SLP
Покопавшись со сниффером обнаружил, что опции slp запрашиваются широковещательным пакетом уже после получения вышеперечисленного в п.1 и соответсвенно эти пакеты отфильтровываются. Поиск на novell.com эту инфу потдвердил.
Я вижу два выхода, которые меня не совсем устраивают. Либо прописывать статически SLP на всех компьютерах (с помощью zen), либо открывать широковещательный трафик по 67 и 68 портам (bootp).

Может кто подкинет умных мыслей?

[Иван Левшин aka Ivan L.]

Настраивать SLP DA и клиентов - однозначно. Если широковещание ходит - зачем тогда SLP?

[Антон Бурмистров]

Изложение мыслей в письменном виде помогло. Открыл возможность посылки пакетов на адрес ff.ff.ff.ff по протоколу udp с 68 на 67 порт. В общем на безопасности никак не должно отразиться, поскольку маршрутизатор отправляет такие пакеты только на DHCP-сервер.
2 Ivan L.
SLP конечно же настроен. Проблема была в том, что клиент посылал запрос к DHCP по опциям, относящимся к slp, не по адресу сервера а бродкастом, что само по себе немного нелогично.

[Иван Левшин aka Ivan L.]

Слушайте... Я считал, что опции DHCP выдаются вместе с адресом, а тут получается, что передача идет в два приема - сначала адрес, потом опции. Это действительно так и есть?

[Антон Бурмистров]

Я тоже так считал. Пока сниффер не запустил
Теория здесь http://www.novell.com/coolsolutions/appnote/620.html Machine Boot -- The First Steps

[Иван Левшин aka Ivan L.]

ОК, возьмем на заметку