charliecharlie

Такая же проблема была на 4006 сап3 на Л3 интерфейсе не вставляет опцию82, только на Л2 а какая прошивка на 3550 ?

он вроде бы поддерживается, по крайней мере команды естьно запустить его не удалось Switch(config)#int loopback 1 Switch(config-if)#ip address 10.10.10.0 255.255.0.0 Switch(config-if)#no ip redirects Switch(config-if)#exit Switch(config)#interface vlan 11 Switch(config-if)#ip unnumbered Loopback 1 Point-to-point (non-multi-access) interfaces only Switch(config-if)# может цисководы подскажут куда копать?

самое главное в ней есть Поддержка IP Unnumbered for VLAN-SVI interfaces, IP Source Guard, DHCP Snooping а становится она в стек? если более 24 портов на узле нужно через GigaStack GBIC медью? или только оптикой?и какую сумму нужно выложить за этот интерфейс?

а смысл использовать циску сервером дхцп???

самое главное в ней есть Поддержка IP Unnumbered for VLAN-SVI interfaces, IP Source Guard, DHCP Snooping а становится она в стек? если более 24 портов на узле нужно

собственно настройки на агрегации ! ip dhcp snooping vlan 11-18 ip dhcp snooping ! порт который смотрит на свич доступа ! interface FastEthernet2/4 switchport trunk encapsulation dot1q switchport trunk allowed vlan 11-18 switchport mode trunk ip verify source vlan dhcp-snooping port-security ! ! interface Vlan15 ip address 10.15.4.1 255.255.255.0 ip helper-address 192.168.0.55 ! все работает, если прописываю ип вручную, шлюза не вижу получаю по дхцп - все работает

Предложенная схема Stak, кроме однотиповых настроек свичей доступа, позволяют использовать супердешевые свичи на базе риалтека, которые могут дот.Й, но могут вставлять VID только от 1 до 8 делаются из обычной мыльницы впаиванием епромки, PHY и трансивера вдм НО имеют недостаток - сложную систематизацию ип-адресов абонентов, если требуется выдавать абонентам статический адрес, что позволяет обойтись без аутентификации. Так у абонента в квартире может быть несколько комп и т.п. выдавать абоненту нужно несколько ип-адресов, скажем 4 или 5 должно хватить системы определения ип-адреса абонента следующие 1. Параноя, выдаем на абонента подсеть /29 со своим gw, итого он имеет 5 адресов (хотя по этой схеме ему можно и всю /24 сеть отдать) и имеет доступ к другим участникам его влана только через gw 10.Х2.Х3.Х4 Х2 = (Y-1) * Vmax + V X3 = (M-M1) * Nmax +N X3 - порядковый номер абонента на данном узле агрегации, порту и влане, где Y - порядковый номер узла агрегации (от 1 до 10) V - порядковый номер vlan (от 1 до 8) Vmax - максимальный номер vlan M - порядковый номер модуля портов агрегации (от 1 до 5) M1 - номер первого модуля (все модули портов доступа должны идти по порядку) N - кол-во портов доступа в модуле (от 1 до 24) Nmax - максимальное кол-во портов агрегации в модуле 2. Легкий, выдаем клиенту ип-адреса с маской /31, т.е. он получает 2 адреса, но с общим gw тогда система упрощается 10.Х2.Х3.Х4 Х2 = Y X3 = V X3 - порядковый номер абонента на данном узле агрегации и влане, это все актуально если мы хотим терминировать вланы на агрегации и оборудование агрегации поддерживает DHCP snooping + option 82 + IP source guard НО не поддерживает IP-unnumbered on SVI (смотрим посты выше с конфигурацией)

похоже что кроме схемы (http://forum.nag.ru/forum/index.php?act=attach&type=post&id=1639) предложенной Stak здесь http://forum.nag.ru/forum/index.php?showtopic=45488&st=0 больше вариантов нету, схема красивая но в ней получается не влан на юзера, а влан на группу юзеров которые находятся в разных домах -усложняется контроль -при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса т.е. привязка будет не на порт агрегации а на свободный влан(порт) на свиче доступа

Хочу сделать такую схему: 1. Доступ умеет только влан dotQ 2. Агрегация Л3, терминируем доступ и вставляем опцию 82 в дхцп запрос который пришел от клиента 3. Ядро Л2 4. В ядро включен дхцп сервер, который по мак и порту агрегации и влану свича доступа выдает ип клиенту реально ли такое сделать? кот делал подобное? в какой схеме и на каком оборудовании? Я наступли на такие грабли: Дано ICS-Dhcp сервер 3.03, висит на 192.168.0.55 , конф subnet 10.10.10.0 netmask 255.255.255.0 { class "port-27" { match if binary-to-ascii (10, 8, "/", substring (option agent.circuit-id, 4, 4)) = "2/27"; } pool { range 10.10.10.27; allow members of "port-27"; } } включен в Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14 Mod Ports Card Type Model Serial No. ---+-----+--------------------------------------+------------------+----------- 1 2 Supervisor III 1000BaseX (GBIC) WS-X4014 JAB081104MQ 2 34 10/100BaseTX (RJ45), 1000BaseX (GBIC) WS-X4232-GB-RJ JAE054001CD в порт ! interface FastEthernet2/34 no switchport ip address 192.168.0.222 255.255.255.0 ! комп который должен получить ип по дхцп включен в порт ! interface FastEthernet2/27 switchport access vlan 2 switchport mode access ! interface Vlan2 ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! Switch#sh ip dh sn Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1-2 Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- Switch# в таком виде опция82 на циске вставляется, комп получает ип согласно опции82 дебаг на циске 00:38:51: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27) 00:38:51: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37 00:38:51: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312 00:38:51: DHCP_SNOOPING: add relay information option. 00:38:51: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:38:51: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2) 00:38:51: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2. 00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data: 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data: 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING: remove relay information option. 00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27. 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312 00:38:52: DHCP_SNOOPING: add relay information option. 00:38:52: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:38:52: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2) 00:38:52: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2. 00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data: 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data: 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING: remove relay information option. 00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27. дебаг дхцп сервера Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37 DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1 DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37 DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек) перевожу интерфейс который смотрит на клиентов в Л3 ! interface FastEthernet2/27 no switchport ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! и дебаг снупинг циска вообще не выводит по тспдампу видно что опция82 не вставляется ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68 tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:24:12.083974 IP (tos 0x0, ttl 255, id 44, offset 0, flags [none], proto: UDP (17), length: 328) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 300, hops:1, xid:0x357a8e1c, secs:3072, flags: [none] Gateway IP: 10.10.10.1 Client Ethernet Address: 00:11:2f:80:6b:37 Vendor-rfc1048: DHCP:DISCOVER NOAUTO:Y CID:[ether]00:11:2f:80:6b:37 HN:"philka" VC:"MSFT 5.0" PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO дебаг дхцп соответственно DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases Возможно ли вообще чтобы на Л3 интерфейсе циска вставляла опцию 82? если невозможно , то как можно реализовать схему терминация на агрегации и выдача ип по порту на циске и номеру VID на свиче доступа?

поставил на столе циску 4006 с сап3, хочу по порту выдавать ип если включаю просто релей, то комп получает ип без проблем ! interface FastEthernet2/33 no switchport ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! interface FastEthernet2/34 no switchport ip address 192.168.0.222 255.255.255.0 ! конф дхцп subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.120 10.10.10.140; option routers 10.10.10.1; allow unknown-clients; } дебаг Wrote 0 leases to leases file. Listening on Socket/ed1/192.168.0/24 Sending on Socket/ed1/192.168.0/24 DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1 DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPREQUEST for 10.10.10.140 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPACK on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 а если включаю опт82 на циске Switch#sh ip dh sn Switch DHCP snooping is disabled DHCP snooping is configured on following VLANs: none Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- Switch# с таким конфом дхцп subnet 10.10.10.0 netmask 255.255.255.0 { class "port-33" { match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "33"; } pool { range 10.10.10.33 10.10.10.33; allow members of "port-33"; } } то дебаг выдает DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases тоже самое если включаю еще на циске снупинг и ip dhcp snooping information option allow-untrusted не пойму в чем проблема или опт82 не вставляется на циске или неправильно класс описал в дхцп или еще в чем-то

какое оборудование стоит на агрегации и доступе?как определяли и разбирали на дхцп-сервере формат опции82?

а что в качестве базы используете?как можно супер-ченел заюзать? вскрыл 501, ver.2, на печатке rev-1.3 (ценник 34уе)стоит там AR2315A-001

Есть 3 микрорайона, 5-и этажки, самый оптимистичный прогноз 4000 абонов, более реальный 2000 Хотим сделать модернизацию по схеме 1 вынос (РУ) на микрорайон звездой (лепесток) от РУ звездой волокно на каждый подъезд, 1 влан на подъезд в подъезде тупой л2 8порт с аплинком ВДМ 100М почитал этот раздел, и сравнив с реальной ситуацией также посоветовавшись с космосом решили не заморачиваться с иптв и прочими мультикастами основная цель модернизации - получить надежную и с наименьшими затратами на обслугу сеть для продажи инета, основная ставка на физиков вопрос авторизации пока открыт, также открыт вопрос где разруливать Л3, на агрегации (РУ) или в ядре железо хотим такое Ядро Cisco Catalyst WS-C6509 1 http://shop.nag.ru/core.asp?main=catalog&a...=2051&cat=1 Cisco Catalyst WS-X6K-S2-MSFC2 (PFC2, MSFC2) 512MB 1 http://4isp.ru/core.asp?main=catalog&a...=2107&cat=1 Cisco Catalyst WS-CAC-2500W 2 http://shop.nag.ru/core.asp?main=catalog&a...=3105&cat=1 Cisco Catalyst WS-X6516-GBIC 1 http://shop.nag.ru/core.asp?main=catalog&a...=2283&cat=1 Cisco Catalyst WS-X6516-GE-TX 1 http://shop.nag.ru/core.asp?main=catalog&a...=2451&cat=1 Cisco Catalyst WS-X6348-RJ-45 1 http://4isp.ru/core.asp?main=catalog&a...=2065&cat=1 Cisco Catalyst WS-X6224-100FX-MT 1 http://4isp.ru/core.asp?main=catalog&a...=2133&cat=1 GBIC WDM 1550nm 6 http://shop.nag.ru/core.asp?main=catalog&a...2438&cat=14 Микрорайон (РУ) Cisco Catalyst WS-C4006 1 http://shop.nag.ru/core.asp?main=catalog&a...d=938&cat=1 Cisco Catalyst WS-X4014 SUP-III 1 http://shop.nag.ru/core.asp?main=catalog&a...=2131&cat=1 Блок питания для Cisco Catalyst 4000 (WS-x4008) 3 http://shop.nag.ru/core.asp?main=catalog&a...=1326&cat=1 Cisco Catalyst WS-X4148-FX-MT (+перепайка WDM) 5 http://4isp.ru/core.asp?main=catalog&a...=3489&cat=1 GBIC WDM 1310nm 2 http://shop.nag.ru/core.asp?main=catalog&a...2436&cat=14

так они же там вроде под многомод (http://www.intel.com/cd/network/connectivity/emea/rus/241156.htm) под роутер заказал ASUS P5Q-E INTEL Core 2 Quad Q9550 INPWLA8492MTBLK5 PRO/1000 MT Dual Port ADAP-Blk

voiptech.ruработает железка на 4 канала вменяемый саппорт