default_vlan

Вот еще вопрос, чисто теоретически, как-то можно проверять мак свитча + мак порта + мак клиента?

ГИГАМЕГАМЕЖГАЛАКТИЧЕСКИЙПАЛЕЦВВЕРХ )) завелось. Спасибо огромное

Server starting service. DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases Не сработало. Да, с 0 или ^@ в tcpdump'е. Эммм... TEST_2950-48(config)#ip dhcp snooping ? information DHCP Snooping information vlan DHCP Snooping vlan <cr> Логически, чтобы подправить конфиг, надо понимать что приходит. Agent-Information Option 82, length 18: Circuit-ID SubOption 1, length 6: ^@^D^C^B^@^@ Remote-ID SubOption 2, length 8: ^@^F^@^QM-^SM-oM-$M-@ Circuit-ID SubOption 1, length 6: ^@^D^C^B^@^@ 000504030000 - клиет был в 1 порту. Последняя ^@ меняется в соответствии с ASCII кодом, оно и логично. ^@^F^@^QM-^SM-oM-$M-@ - даже близко на mac-адрес не похоже. IP по маку клиента получил.

Добавил. В логах только это. Aug 18 10:46:12 www dhcpd: Copyright 2004-2016 Internet Systems Consortium. Aug 18 10:46:12 www dhcpd: All rights reserved. Aug 18 10:46:12 www dhcpd: For info, please visit https://www.isc.org/software/dhcp/ Aug 18 10:46:13 www dhcpd: Internet Systems Consortium DHCP Server 4.3.4 Aug 18 10:46:13 www dhcpd: Copyright 2004-2016 Internet Systems Consortium. Aug 18 10:46:13 www dhcpd: All rights reserved. Aug 18 10:46:13 www dhcpd: For info, please visit https://www.isc.org/software/dhcp/ Aug 18 10:46:13 www dhcpd: Wrote 0 class decls to leases file. Aug 18 10:46:13 www dhcpd: Wrote 0 leases to leases file. Aug 18 10:46:13 www dhcpd: Aug 18 10:46:13 www dhcpd: No subnet declaration for vr1 (8*.***.***.***). Aug 18 10:46:13 www dhcpd: ** Ignoring requests on vr1. If this is not what Aug 18 10:46:13 www dhcpd: you want, please write a subnet declaration Aug 18 10:46:13 www dhcpd: in your dhcpd.conf file for the network segment Aug 18 10:46:13 www dhcpd: to which interface vr1 is attached. ** Aug 18 10:46:13 www dhcpd: Aug 18 10:46:13 www dhcpd: Listening on BPF/vr0/00:1c:f0:98:47:ff/mynetwork Aug 18 10:46:13 www dhcpd: Sending on BPF/vr0/00:1c:f0:98:47:ff/mynetwork Aug 18 10:46:13 www dhcpd: Sending on Socket/fallback/fallback-net Aug 18 10:46:13 www dhcpd: Server starting service. Aug 18 10:47:26 www dhcpd: DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases Aug 18 10:47:30 www dhcpd: DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases Aug 18 10:47:39 www dhcpd: DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases Aug 18 10:47:56 www dhcpd: DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases

Мы на UTM сидели, после багов и корявой поддержки написали свой, под свои задачи уже около 7 лет работает нормально. Лично знаю еще около 5 организаций, которые писали свой биллинг и еще одну, которая ушла на Гидру. В принципе, сложного нет ничего, разве что если у вас до сих пор используется оплата за мегабайт - обсчитывать будет по flow с задержкой в 15 минут.

Убрал . Теперь приходит 09:50:38.920864 IP (tos 0x0, ttl 255, id 4, offset 0, flags [none], proto UDP (17), length 326) 10.140.1.1.67 > 10.10.254.127.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:81:1b:eb:bf, length 298, hops 1, xid 0x63e6f4f5, secs 7168, Flags [none] (0x0000) Gateway-IP 10.140.1.1 Client-Ethernet-Address 00:23:81:1b:eb:bf Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Client-ID Option 61, length 7: ether 00:23:81:1b:eb:bf Hostname Option 12, length 3: "DNS" Vendor-Class Option 60, length 8: "MSFT 5.0" Parameter-Request Option 55, length 13: Subnet-Mask, Domain-Name, Default-Gateway, Domain-Name-Server Netbios-Name-Server, Netbios-Node, Netbios-Scope, Router-Discovery Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft, Option 252 Vendor-Option Agent-Information Option 82, length 14: Remote-ID SubOption 2, length 12: ^B^J^@^@^JM-^L^A^A^J^@^@^@ выше такой же дамп, судя по Remote-ID в первом и во втором случаях, в данном случае это mac-адрес 3550 без порта. Если на 2950 вернуть снуппинг и указать снуппинг для вилана, то я получу Mac 2950 и порт, но останется одна проблема - в dhcp в логи, падает только Aug 18 09:53:26 www dhcpd: DHCPDISCOVER from 00:23:81:1b:eb:bf via 10.140.1.1: network mynetwork: no free leases хотя в конфиге есть запись следующего вида subnet 10.140.1.0 netmask 255.255.255.0 { if exists agent.remote-id { log ( info, concat( "Switch MAC:", binary-to-ascii(16, 8, ":", option agent.remote-id), "Switch port:", binary-to-ascii(10, 8, ":", option agent.circuit-id) )); } или как в первом посте - просто белиберду в лог писать, если remote-id существует. Из пакета видно, что он существует, но в лог ничего не падает. Получается, что не существует? Но ведь тогда circuit-id также изменяется, почему в этом случае ничего не падает в лог?

Осмелюсь предположить, что такая ситуация происходит потому что данные представлены в НЕХ-string. Как обычно, я предлагаю 3 варианта решения: 1. пересмотреть еще раз snmpwalk по девайсу, может быть эти значения где-то попадаются в string, хотя не факт, но мало ли. 2. играться с функциями [Device.MacAddressesCommaList()][oid("1.3.6.1.4.1.3320.101.10.4.1.1.15")] или [Device.MacLookup()][oid("1.3.6.1.4.1.3320.101.10.4.1.1.15")] или [Device.MacAddressesColumn()][oid("1.3.6.1.4.1.3320.101.10.4.1.1.15")] либо искать описания этих функций. В самом ПО я не нашел объявления сторонних функций. 3. Через костыль. Поднимаем на сервере snmp-server, в настройках сервера указываем скрипт, который будет брать данные по snmp с этого девайса, а представлять как свои, но в другом типе данных. Вроде бы скрипт будет выполняться только при обращении к oid на сервере. Еще есть вариант, слева в вертикальном меню, есть пункт Functions. В функции snmp_name любопытно описана конкатенация 'System Name' и соответствующего OID. Можно попробовать описать свою функцию.

Благодарю за ответ. Что летит - самый последний из дампов. Да, все пингуется, маршрут до 10.140.1.1 тоже включен

Более вероятно, что да. Давно ковырялся с dude, сейчас использую чисто на мониторинг сети. Если я правильно помню, то там есть написание собственных функций. Если напомните где, попробую помочь. Если я правильно понял, то это в конфигурации сервера -> Map -> Device Appearance -> Label.

Всем привет. Неделю мучаюсь с настройкой WS-C3550-24-FX-SMI и WS-C2950G-48-EI + Ubuntu (isc-dhcp-server). Ранее получилось настроить, сейчас вообще ни в какую. Схема: [клиент]<--access_vlan770-->[cisco2950]<--trunk_1,770-->[cisco3550]<--access_vlan1-->[sERVER_DHCP] Конфиг 2950: ... ip dhcp snooping vlan 770 ip dhcp snooping ip dhcp snooping information option ... vlan 770 ! interface FastEthernet0/1 switchport access vlan 770 ip dhcp snooping limit rate 200 ! ... interface GigabitEthernet0/2 switchport trunk allowed vlan 1,770 switchport mode trunk ip dhcp snooping trust ! interface Vlan1 ip address 10.10.13.90 255.255.0.0 no ip route-cache ! ... Конфиг 3550: ... ip dhcp relay information option ! ... ! vlan 770 ! ... ! interface Vlan1 ip address 10.10.13.75 255.255.0.0 ! interface Vlan770 ip address 10.140.1.1 255.255.255.0 ip helper-address 10.10.254.127 ip dhcp relay information trusted ! Конфиг dhcp: default-lease-time 2592000; max-lease-time 2592001; ddns-update-style none; log-facility local7; option ms-classless-static-routes code 249 = array of unsigned integer 8; site-option-space "111"; server-identifier hostname; local-address 10.10.254.127; shared-network mynetwork{ authtoritative; if exists agent.remote-id { log ( info, option agent.remote-id); } if exists agent.circuit-id { log ( info, option agent.circuit-id); } subnet 10.10.0.0 netmask 255.255.0.0{ # host admin_phone{ # fixed-address 10.10.14.1; # hardware ethernet f8:df:a8:8a:c0:83; # option routers 10.10.10.99; # option domain-name-servers 8.8.8.8, 62.165.32.250; # } if exists agent.remote-id { log ( info, option agent.remote-id); } if exists agent.circuit-id { log ( info, option agent.circuit-id); } } subnet 10.140.1.0 netmask 255.255.255.0 { if exists agent.remote-id { log ( info, option agent.remote-id); } if exists agent.circuit-id { log ( info, option agent.circuit-id); } # 00:23:81:1b:eb:bf - client # 00:11:93:EF:A4:C0 - 2950 base # 00:11:93:EF:A4:C1-F2 - 2950 ports class "sw01-p01" { match if binary-to-ascii( 16, 8, ":", suffix(option agent.remote-id ,6) )="00:11:93:ef:a4:c1" and binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1)) = "0001"; } class "sw01-p02" { match if binary-to-ascii( 16, 8, ":", suffix(option agent.remote-id ,6) )="00:11:93:ef:a4:c1" and binary-to-ascii( 10, 8, ":", suffix(option agent.circuit-id, 1) ) = "1"; } option routers 10.140.1.1; option subnet-mask 255.255.255.0; authoritative; pool { range 10.140.1.2; allow members of "sw01-p01"; } pool { range 10.140.1.3; allow members of "sw01-p02"; } } } В итоге, на отлавливаю пакеты такого вида: # tcpdump -s0 -vvvni vr0 host 10.10.254.127 and port 67 tcpdump: listening on vr0, link-type EN10MB (Ethernet), capture size 65535 bytes 14:36:03.956400 IP (tos 0x0, ttl 255, id 348, offset 0, flags [none], proto UDP (17), length 347) 10.140.1.1.67 > 10.10.254.127.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:81:1b:eb:bf, length 319, hops 1, xid 0xc5f545ed, secs 7424, Flags [broadcast] (0x8000) Gateway-IP 10.140.1.1 Client-Ethernet-Address 00:23:81:1b:eb:bf Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Client-ID Option 61, length 7: ether 00:23:81:1b:eb:bf Hostname Option 12, length 3: "DNS" Vendor-Class Option 60, length 8: "MSFT 5.0" Parameter-Request Option 55, length 13: Subnet-Mask, Domain-Name, Default-Gateway, Domain-Name-Server Netbios-Name-Server, Netbios-Node, Netbios-Scope, Router-Discovery Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft, Option 252 Vendor-Option Agent-Information Option 82, length 18: Circuit-ID SubOption 1, length 6: ^@^D^C^B^@^@ Remote-ID SubOption 2, length 8: ^@^F^@^QM-^SM-oM-$M-@ Agent-Information Option 82, length 14: Remote-ID SubOption 2, length 12: ^B^J^@^@^JM-^L^A^A^J^@^@^@ END Option 255, length 0 А в логах пусто - только мак ноута. Где я накосячил? Спасибо.

уже Попробую. Думаете он нагружает устройство? Чуть подробнее можно?

Приветствую всех. Не стал создавать новую тему, т.к. тут вроде бы все изложено, но не совсем все ясно. Как я понял из ранее предложенного, у меня есть только 1 путь - vlan на клиента. Клиентов достаточно много, а pptp-сервера, мягко говоря, начинают падать от постоянно создаваемых/терминируемых туннелей. По этой причине vlan на клиента, для меня и в моем представлении, слишком загадочное явление по четырем причинам, которые подкреплены случаями: 1. Когда я не был столь тесно знаком с cisco, я не знал, что есть такая технология как vtp, которая собрала все vlan с других cisco с таким же именем домена, в итоге на каждом магистральном коммутаторе собралось более 300 vlan, сами коммутаторы лежали к верху пузом и тупили. Перевел vtp в transparent и всё завелось/, разумеется грохнув лишние vlan. 2. Так получилось, что на магистральном узле установлены 2 коммутатора "c3550-ipservicesk9-mz.122-44.SE6/c3550-ipservicesk9-mz.122-44.SE6.bin". Ну и решил я чтобы один коммутатор тащил все vlan подключенные к нему... 48 vlan всего. Зависло уже к вечеру. 48 vlan + интерфейсы к ним... почему - так и не поняли. Разделили vlan'ы на 2 коммутатора, работает по сей день, только мыши оптику грызут. 3. насколько я знаю, на cisco для клиента дать значение для vlan id больше чем в 1000 нельзя, а у меня с пары районов их более 1500. 4. Q-in-Q, как я понял, 2950 не держит (даже с перепрошивкой ибо это аппаратное), учитывая п. 1 и 2 выше, то такой эксперимент может быть чреват для 3550, который вроде бы и имеет в CLI упоминание о dot1q-tunneling. Собственно вопрос тогда, как всё-таки завести? Спасибо. ЗЫ. в статье http://www.area0.co.uk/ccie/blog/2012/10/07/cisco-dot1q-tunneling-or-q-in-q-with-l2tp/ вроде бы можно поднять vlan на одном железе, странковать с другим, железом, на котором уже будет порт в access mode и он уже типа Q-in-Q. Или Q-in-Q должен быть организован на стороне еще уровня доступа?

#sh version Cisco IOS Software, C3550 Software (C3550-IPSERVICESK9-M), Version 12.2(44)SE6, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Mon 09-Mar-09 20:28 by gereddy Image text-base: 0x00003000, data-base: 0x012A99FC ROM: Bootstrap program is C3550 boot loader SW_1 uptime is 6 weeks, 22 hours, 14 minutes System returned to ROM by power-on System image file is "flash:/c3550-ipservicesk9-mz.122-44.SE6/c3550-ipservicesk9-mz.122-44.SE6.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco WS-C3550-24-FX (PowerPC) processor (revision K0) with 65526K/8192K bytes of memory. Processor board ID CSG0825P06G Last reset from warm-reset Running Layer2/3 Switching Image Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 384K bytes of flash-simulated NVRAM. Base ethernet MAC Address: 00:**:**:**:**:*0 Motherboard assembly number: 73-****-08 Power supply part number: 34-****-04 Motherboard serial number: CAT****** Power supply serial number: DTH***** Model revision number: K0 Motherboard revision number: A0 Model number: WS-C3550-24-FX-SMI System serial number: CSG********* Configuration register is 0x10F В моей конфигурации, не тянет оно даже более 70 vlan. Пришлось по 2-3 железки на магистрали ставить. (config-if)#sw mo dot1q-tunnel ? <cr> Это просто опция для транзита трафика через коммутатор? пример реализации можно? От железки клиента до сервера доступа. Спасибо всем, кто ответил.

по настройке проконсультировать сможете? А то у меня уже каша в голове.

не выходит, т.к. 3550 у меня падает от 100 вланов, а клиентов там много больше.

sw mo dot1q-tunnel на 3550 есть. Получается, чтобы выпустить клиента я должен буду поднимать n-количество vlan на самих серверах доступа равное количеству cvlan? правильно?

Как в таком случае должно работать? Я предполагал, что клиенту дается адрес 10.199.199.2 со шлюзом 10.199.199.1 и клиент видит интернет. При этом сервер (который nas) "натит" все запросы из 10.199.199.0/30 в на внешнюю сеть. Или нет? Сейчас собрано, как на картинке. Обычное дерево. от каждой cisco 3550 подключено 24 других коммутатора, в каждом коммутаторе 22-46 клиентов. так? queue-list 1 interface fastEthernet 0/1 0 Тогда как это развернуть на другой стороне?

Пример можно? :) как упаковать и как заставить маршрутизатор, а в моем случае l3-коммутатор это разрулить?

У меня такого в 2950 даже нет: (config-vlan)#? VLAN configuration commands: are Maximum number of All Route Explorer hops for this VLAN (or zero if none specified) backupcrf Backup CRF mode of the VLAN bridge Bridging characteristics of the VLAN exit Apply changes, bump revision number, and exit mode media Media type of the VLAN mtu VLAN Maximum Transmission Unit name Ascii name of the VLAN no Negate a command or set its defaults parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs private-vlan Configure a private VLAN remote-span Configure as Remote SPAN VLAN ring Ring number of FDDI or Token Ring type VLANs said IEEE 802.10 SAID shutdown Shutdown VLAN switching state Operational state of the VLAN ste Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified) stp Spanning tree characteristics of the VLAN tb-vlan1 ID number of the first translational VLAN for this VLAN (or zero if none) tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none) на 3550 также: (config-vlan)#? VLAN configuration commands: are Maximum number of All Route Explorer hops for this VLAN (or zero if none specified) backupcrf Backup CRF mode of the VLAN bridge Bridging characteristics of the VLAN exit Apply changes, bump revision number, and exit mode media Media type of the VLAN mtu VLAN Maximum Transmission Unit name Ascii name of the VLAN no Negate a command or set its defaults parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs remote-span Configure as Remote SPAN VLAN ring Ring number of FDDI or Token Ring type VLANs said IEEE 802.10 SAID shutdown Shutdown VLAN switching state Operational state of the VLAN ste Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified) stp Spanning tree characteristics of the VLAN tb-vlan1 ID number of the first translational VLAN for this VLAN (or zero if none) tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none)

Благодарю всех откликнувшихся. Извиняюсь, что не отвечал, тут очень странная система с блокировкой сообщений. Сегодня я могу ответить 2 раза, включая этот... и так еще 3 раза. Пока серые, но расчитываю на крупный пул белых IP. Сколько клиентов, сколько железок и как бы сделали? Ну так это понятно, но вроде как сама технология не подразумевает простого NAT. Или я ошибся? Теперь вопрос тем, кто отписал про vlan-per-user, cvlan, svlan. У нага приобреталось железо cisco catalyst 2950 и 3548, также есть пара snr-c2950 и nortel-bay-stack, кое где еще 3com 3c16980. Всё же преимущественно стоит cisco 2950. Это что касается уровня доступа. Уровень распределения ранее был на foundry big iron, сейчас на cisco catalyst 3550. Проблема в том, что cisco 3550 не понимает большого количества vlan, если на 2х разных железках не выставлен vtp transparent, то они клонируют друг у друга vlan-id, а дальше просто "моргают лампочками", а трафик ходит с огромными задержками. Учитывая этот факт, осмелюсь предположить, что 500-800 человек с района просто не смогут работать в таком режиме. Может быть есть параметр оптимизации для 3550 на количество обслуживаемых vlan? Как быть в этом случае? Опять же, допустим, у меня есть огромный пул внешних белых ip. Выдавать клиенту их по dhcp? В таком случае я смутно представляю топологию сети.

Может быть, судя по гуглу. дорого и не рентабельно.

Приветствую. На данный момент в сети настроено существование группы pptp-серверов (mpd5). В планах есть желание перейти на так называемый EoIP. Якобы это должно решить множество проблем, которые возникают при тунелировании трафика. DHCP с опцией 82, в принципе, настроен. Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть? Если у кого есть подробное руководство (не на базе d-link), буду признателен. Спасибо.