Вопрос про dhcpd.conf

[Вопрос про dhcpd.conf]

проблемы две, точнее два неудобства:

 

1. На каждого абонента придётся создавать класс, в котром указывать идентификатор свича (remote-id=MAC). Т.е. если в свиче 20 юзеров, то в конфигепридётся 20 раз указать МАС свича. Неужели нет способа указывать МАС один раз ? зачем такая избыточность ? :-).

 

2. Приходится использовать именно MAC, т.к. не все свичи умеют отдавать ip в качестве remote-id. Например, с2950 не умеет ничего кроме МАС адреса и это не повод выбрасывать, номральный свич. Сменил свич - вперёд менять конфиг и искать там 20 раз этот МАС. Там и мак-то ещё в странной форме записи - без нулей. с2960 тоже не умеет ip отдавать, там можно чё-то наконфигурять, даже слово какое-то может отдавать (написать в это слово ойпи свича можно :-)), но не ойпи в чистом виде. В общем. в сети оборудование разное, поэтому для унификации нужно юзать МАС.

 

Инсталляция не большая, городить огород с dhcpd+patch + радиус и СУБД слишком сложно. Просто хочу нормальные конфиги :-).Видимо, действительно придётся писать скрипт, который генерит конфиг ...

Еще раз. Мы не анализируем remote-id, мы смотрим с какого IP пришел этот запрос. Нам вообще remote-id не нужно

Вам не нужно, нам нужно :-). Если вы не смотрите на remote-id, значит вы используете dhcp-relay. dhcp-snooping в чистом виде (а именно толкько в чистом виде он нормально работает на имеющемся у нас оборудовании) не передаёт ip-адрес, только вставляет remote-id и circuit-id. Вот, имея только эти два id, и нужно выдавать ойпи - такая задачка.

 

[RB750 CPU]

купил рб450г попробую на нем отпишусь

Вообще лучше тогда брать rb750g - он на том же чипсете, что и 450g, но без консоли, как и 750. Без консоли и заметно дешевле, правда ССС на него пока нет. Я 450g потрогал уже, с ним вроде бы всё понятно. А как у 750* залазить в биос, форматить nand и всё такое ? Т.е. конечно же openwrt там не хватает :-). Как его туда прошить ?

[Вопрос про dhcpd.conf]

проблемы две, точнее два неудобства:

 

1. На каждого абонента придётся создавать класс, в котром указывать идентификатор свича (remote-id=MAC). Т.е. если в свиче 20 юзеров, то в конфигепридётся 20 раз указать МАС свича. Неужели нет способа указывать МАС один раз ? зачем такая избыточность ? :-).

 

2. Приходится использовать именно MAC, т.к. не все свичи умеют отдавать ip в качестве remote-id. Например, с2950 не умеет ничего кроме МАС адреса и это не повод выбрасывать, номральный свич. Сменил свич - вперёд менять конфиг и искать там 20 раз этот МАС. Там и мак-то ещё в странной форме записи - без нулей. с2960 тоже не умеет ip отдавать, там можно чё-то наконфигурять, даже слово какое-то может отдавать (написать в это слово ойпи свича можно :-)), но не ойпи в чистом виде. В общем. в сети оборудование разное, поэтому для унификации нужно юзать МАС.

 

Инсталляция не большая, городить огород с dhcpd+patch + радиус и СУБД слишком сложно. Просто хочу нормальные конфиги :-).Видимо, действительно придётся писать скрипт, который генерит конфиг ...

[Поясните доходчиво про VLANы]

Всем спасибо, всё задуманное получилось. На самом деле, сразу после прочтения статьи на иксгуру уже стало всё предельно ясно (и вообще открыл для себя этот ресурс), но всем остальным тоже спасибо :)

 

Тем не менее, таки мучит меня один вопрос. Про .1q всё ясно. Однако при этом существует такая замечательная железка, как DL-DES-1008D/RV, у которой 8 порт содержится в семи вланах и ни в одном он не является тегированным - и ведь всё работает. Также существует, например, режим Home Vlan на PS2216, в котором порты 1 и 9 содержатся в четырнадцати вланах (вроде бы, хотя могу с арифметикой ошибиться), и тоже ни в одном не тегированы. И тоже всё работает. То есть весьма дубовой железке как-то вот хватает мак-адресов и тегов не надо. Почему же на гораздо более продвинутом оборудовании нельзя сделать подобный конфиг?

Потому что это всё от лукавого :-). do1q это стандарт, который поддерживается практически всем оборудованием, которое поддерживает технологию vlan. То, про что вы написали как пример на простом обрудовании, это port based vlans - в пределах одного свича масштабируется и то плохо. dot1q - tag based vlans - масштабирование гораздо лучше и через несколько свичей.

 

Следует использовать именно dot1q, а не всякие проприетарные аналоги от цыско или 3сом.

[Вопрос про dhcpd.conf]

Интересует сравнительно небольшая по числу абонентов инсталляция dhcpd с использованием option 82. Как бы всё работает, но конфиг уж очень неудобный получается: приходится в *каждом* class в его match определять и МАС свича и порт. МАС, а не ip - потому что все свичи умеют МАС, но ip отдавать умеют не все. Порты кстати у цыско с нуля начинаются, а у других мутаторов с 1 - тоже неудобно и хочется заменить переменной, но не знаю как.

 

Суть вопроса: можно ли каким-либо образом указывать в конфиге МАС свича один раз, чтобы потом ссылаться на него в каждом матче ? Т.е. что-то типа переменных или макросов интересует.

 

Или допустим с помощью eval написать что-то типа:

 

# матчим свич

if suffix(option agent.remote-id,6) = 0:1:2:47:7c:0 {

# первый порт с2950

if match if suffix( option agent.circuit-id, 1 ) = 0 {

fixed-address 192.168.12.2;

}

# второй порт с2950

if match if suffix( option agent.circuit-id, 1 ) = 1 {

fixed-address 10.23.44.8;

}

}

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - вот именно так у меня не получилось даже с одним портом.

 

Вообще любые варианты упрощения конфига интересуют, не обязательно с классами или eval.

 

Про dhcpd+patch+radius+pgsql я читал на этом форуме, но IMHO это что-то монстрообразное. Если бы там примеры для mysql были, то я может быть и посмотрел бы :-), но не капенгаген в pgsql :-). А для mysql есть хотябы dialupadmin, кривой он но жить можно. Остаётся ещё просто freeradius, но они сами не рекомендуют пользовать их dhcp в продакшене.