ifndx

Вам уже указали на ошибки, а вы спорите. Коммутатор не будет ничего перехватывать и ничего никуда вставлять, если на нем активирован dhcp snooping, по крайней мере в его классических реализация на Cisco. Если дополнительно включить dhcp snooping information option, тогда будет передаваться опция. У меня гора коммутаторов, на которых включен dhcp snooping, но никакая опция не добавляется, так авторизация происходит по паре s-tag/c-tag на NAS. Получается только обернуть опцией82 это local relay. есть какое-то rfc на эту тему? много кто это поддерживает?

Спасибо! Всегда думал что snooping это для изоляции левых DHCP-серверов :)

В терминах длинка да, только вот опция82 - это реально опция. То есть релей можно настроить и без опции 82. В целом да. Но, емнип, в случае использования релея меняется порт отправителя. Наш фрирадиус вздумал отвечать коммутатору не на тот порт, пришлось его патчить. В последних прошивках длинка опция 82 может очень тонко настраиваться. Но использовать на практике не приходилось. И относится ли это к серии 36xx - не знаю. Вообще с DHCP очень много тонкостей, потому надо смотреть под конкретную ситуацию. Разные устройства по разному интерпретируют протокол, этого уже наелись в свое время предостаточно. Надо стремиться к тому, чтобы схема настолько простой, насколько это возможно. p.s. Если что, то в третьем случае можно будет косвенно определять vlan по шлюзу. Это если напрямую вставить в пакет не получится. Благодарю за ответ! 1) эта фича распространена среди вендров? не получится ли vendorlock... 3) у нас брас L2-connected.

Навеяло после прочтения темы вот такие вопросы для самообразования 1) DHCP-Relay и DHCP Local relay. правильно я понимаю что в случае Local-relay коммутатор только обрачивает приходящий с порта абонента Discover опцией82 и передает дальше броадкастом? А релей это опция82+юникаст в сторону сервера? 2) DHCP-серверу пофиг каким образом прилетает к нему DHCP-discover ? я к тому что может прилететь юникастом с опцией82 или броадкастом, но с опцией82 от dhcp local relay. или все зависит от настройки DHCP-сервера? 3) есть тупой коммутатор который поддерживает только вланы, перед ним стоит DGS-3627/3612. получится ли включить на D-link опцию так, чтобы в circuit-id он вставлял vlan-id в зависимости от в каком влане пришел запрос и передавал дальше броадкастом?

это сделано осознанно для MPLS/OSPF/RSVP. а чем плох ACL который уже работает как нужно?:)

DES-1210-28/ME 6.07.B046 B2 # ISM vlan enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan "VLAN_ISM" 111 config igmp_snooping multicast_vlan "VLAN_ISM" add member_port 1-24 config igmp_snooping multicast_vlan "VLAN_ISM" add source_port 25-28 config igmp_snooping multicast_vlan "VLAN_ISM" state enable config igmp_snooping multicast_vlan "VLAN_ISM" replace_source_ip none config mld_snooping multicast_vlan "VLAN_ISM" replace_source_ipv6 none config igmp_snooping multicast_vlan "VLAN_ISM" remap_priority none config igmp_snooping multicast_vlan_group "VLAN_ISM" add ipv4_range 224.0.42.1 224.0.42.254 # IGMP snooping enable igmp_snooping config igmp_snooping all router_timeout 125 config igmp_snooping all host_timeout 260 config igmp_snooping data_driven_learning max_learned_entry 256 disable igmp_snooping forward_mcrouter_only config igmp_snooping vlanid 1,2900-2923 state disable fast_leave disable report_suppression enable config igmp_snooping vlanid 111 state enable fast_leave enable report_suppression enable config igmp_snooping data_driven_learning vlanid 1,111,2900-2923 state disable config igmp_snooping data_driven_learning vlanid 1,111,2900-2923 aged_out disable config igmp_snooping querier vlanid 1,111,2900-2923 state disable querier_version 2 last_member_query_interval 1 max_response_time 10 query_interval 125 robustness_variable 2 config router_ports vlan_name "VLAN_ISM" add 25-28 config igmp access_authentication ports 1-28 state disable BRAS> show igmp interface xe-0/0/2.111 Interface: xe-0/0/2.111 Querier: 172.16.16.3 State: Up Timeout: None Version: 2 Groups: 25 Immediate leave: Off Promiscuous mode: On Passive: Off BRAS> show configuration interfaces xe-0/0/2.111 vlan-id 111; family inet { unnumbered-address lo0.0; } BRAS> show configuration interfaces lo0 unit 0 { family inet { address 10.153.255.254/16; address 10.154.255.254/16; address 10.155.255.254/16; address 172.16.16.3/32 { primary; preferred; } } } BRAS> show configuration protocols igmp | match xe-0/0/2.111 interface xe-0/0/2.111 promiscuous-mode; BRAS> тот самый абонент из сети 10.155/16

Как ни странно, но при использовании ISM-vlana пользователь может стать Querier. Не помогает также выключение порта из "Member ports" В данный момент применил указанные выше ACL - всё пока хорошо :)

Разве Join не имеет DIP адрес запрашиваемой группы? Выбрать старший адрес из подсети? или есть другие способы? ближайший роутер где раздается мультикаст это Juniper.

Хочу заблочить "левых" querier на клиентских портах. Навалял свой первый ACL на D-Link :) прокатит такое? # ACL create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1 config access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.1 port 1-24 deny

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swigmp.html http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swdhcp82.html#wp1069615 как ты искал-то? каюсь, ориентировался на эту статью http://habrahabr.ru/post/192136/ а конкретно на

ОК, с вланами понятно что кроме как конечного доступа в транзит его не ставить. А что скажете про MVR и Option82? на моей что-то контекста даже не нашел...

Мечты инженеришки разбились о политику CISCO SYSTEMS :(

Коллеги, подскажите плс софтец для WS-C2960-24TT-L сейчас стоит 12.2(35)SE5 C2960-LANBASE-M. нужна поддержка MVR, Option82 и как бы хотелось 4к вланов, а то: TEST#sh sdm prefer The current template is "default" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses: 8K number of IPv4 IGMP groups: 0.25K number of IPv4/MAC qos aces: 0 number of IPv4/MAC security aces: 0.25K TEST# Заранее выражаю благодарность.

Спасибо! Буду знать.

я ни на что не претендую, но знающие могут рассказать как отделить ему трафик мск-иск от интернета? как его зашейпить по as? community?