stealallsock Posted August 5, 2015 Posted August 5, 2015 (edited) здравствуйте! Имеется isc-dhcp настроенный под выдачу адресов согласно влану и номеру порта. Суть такова: В одном влане несколько коммутаторов. На каждом иссесно настроен релай агент и в качестве дхцп хелпера указан адрес dhcp. Адреса он выдает,но есть одно НО. Клиент посылает запрос на получение адреса,его подхватывают сразу все 3 релай агента в этом влане ( все 3 коммутатора ). Выдает конечно же адрес указанный в конфиге релай агент,но все 3 пытаются одновременно запросить адрес от дхцп сервера для клиента. Итог - загаженный лог дхцп сервера и загаженные лизинги. Как можно запереть это всё в пределах одного коммутатора ( релай агента )? Конфиг сервера default-lease-time 600; max-lease-time 7200; authoritative; ddns-update-style none; log-facility local7; #matrosova 43mng class "MNG****" { match if option agent.circuit-id = "Vlan1413+Ethernet1/8" and option agent.remote-id=00:03:0f:40:3d:32; } #matrosova43 p2 class "matrosova43p2 port1" { match if option agent.circuit-id = "Vlan1413+Ethernet1/1" and option agent.remote-id=00:03:0f:40:3d:4a; } #Matrosova43 p1 class "matrosova43p1 port4" { match if option agent.circuit-id = "Vlan1413+Ethernet1/4" and option agent.remote-id=00:03:0f:3e:ca:80; } class "matrosova43p1 port2" { match if option agent.circuit-id = "Vlan1413+Ethernet1/2" and option agent.remote-id=00:03:0f:3e:ca:80; } class "matrosova43p1 port1" { match if option agent.circuit-id = "Vlan1413+Ethernet1/1" and option agent.remote-id=00:03:0f:3e:ca:80; } #Gricevca 5a class "gricevca 5ap2 port2" { match if option agent.circuit-id = "Vlan1652+Ethernet1/2" and option agent.remote-id=00:03:0f:3e:ce:ca; } subnet 192.168.0.0 netmask 255.255.0.0 { option routers 192.168.100.136; option subnet-mask 255.255.0.0; option domain-name-servers 192.168.100.136; authoritative; } subnet 10.1.96.0 netmask 255.255.255.0 { option routers 10.1.96.1; option subnet-mask 255.255.255.0; option domain-name-servers 10.1.96.1; pool { range 10.1.96.41; allow members of "MNG****"; } pool { range 10.1.96.20; allow members of "matrosova43p2 port1"; } pool { range 10.1.96.22; allow members of "matrosova43p1 port4"; } pool { range 10.1.96.21; allow members of "matrosova43p1 port2"; } pool { range 10.1.96.23; allow members of "matrosova43p1 port1"; } } subnet 10.1.181.0 netmask 255.255.255.0 { option routers 10.1.181.1; option subnet-mask 255.255.255.0; option domain-name-servers 10.1.181.1; pool { range 10.1.181.20; allow members of "gricevca 5ap2 port2"; } } Коммутаторы цискородобные. производства DCN Edited August 5, 2015 by stealallsock Вставить ник Quote
pppoetest Posted August 5, 2015 Posted August 5, 2015 Запретить релей с аплинковых портов. Вставить ник Quote
stealallsock Posted August 5, 2015 Author Posted August 5, 2015 Запретить релей с аплинковых портов. Предполагаю,что это нужно было сделать через dhcp snooping? Вроде бы разобрался и заработало Вставить ник Quote
Negator Posted August 5, 2015 Posted August 5, 2015 На длинках я специально ACL-ами блочил эти запросы чтобы они не улетали дальше абонентского коммутатора. Потом длинковцы исправили все в новых прошивках. Как в DCN это сделать я не знаю. Вообще, насколько я помню, согласно RFC при работе dhcp relay пакеты не должны улетать дальше relay агента. Вставить ник Quote
zhenya` Posted August 8, 2015 Posted August 8, 2015 Может есть что-то про suppress broadcast? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.