[FATHER_FBI]

Добрый день, подскажите возможно ли такое реализовать

Есть Cisco на которой живет исключительно ip unnumbered

interface Loopback1
ip address 172.*.*.1 255.255.192.0 secondary
ip address 10.*.*.1 255.255.192.0 secondary
ip address 172.*.*.1 255.255.192.0 secondary
ip address 172.*.*.1 255.255.192.0 secondary
ip address 176.*.*.1 255.255.240.0

 

SVI

interface Vlan1075
ip unnumbered Loopback1
ip helper-address 91.**.**.**
no ip redirects
no ip unreachables

 

Настроен storm-control broadcast, так как без него, когда пользователи массово шли за лизой, control-plane рыгал и срал кирпичами. Реально ли в моей схеме доставлять DHCPDISCOVER по unicast, средствами DHCP Relay?

[GrandPr1de]

ну так релей у вас уже есть на циске

или что вы хотите сделать, не совсем понятно

[buckethead]

Может ТС имеет ввиду unicast от доступа ДО relay, и будет ли в такой схеме Cisco relay'ить unicast

[FATHER_FBI]

ну так релей у вас уже есть на циске

или что вы хотите сделать, не совсем понятно

Релей есть от цыски до DHCP, но до цыски все DHCP приходят бродкастом, хочется что бы до самой цыски DHCP пакеты прилетали юникастом.

 

Может ТС имеет ввиду unicast от доступа ДО relay, и будет ли в такой схеме Cisco relay'ить unicast

Именно)

Edited July 16, 2016 by FATHER_FBI

[GrandPr1de]

ну насколько я понимаю, всё таки relay это как раз и есть преобразование из broadcast в unicast

 

Routers, by default, will not forward broadcast packets. Since DHCP client messages use the destination IP address of 255.255.255.255 (all Nets Broadcast), DHCP clients will not be able to send requests to a DHCP server on a different subnet unless the DHCP/BootP Relay Agent is configured on the router. The DHCP/BootP Relay Agent will forward DHCP requests on behalf of a DHCP client to the DHCP server. The DHCP/BootP Relay Agent will append its own IP address to the source IP address of the DHCP frames going to the DHCP server. This allows the DHCP server to respond via unicast to the DHCP/BootP Relay Agent. The DHCP/BootP Relay Agent will also populate the Gateway IP address field with the IP address of the interface on which the DHCP message is received from the client. The DHCP server uses the Gateway ip address field to determine the subnet from which the DHCPDISCOVER, DHCPREQUEST, or DHCPINFORM message originates.

 

 

IP helper-addresses can direct UDP broadcasts to a unicast or broadcast IP address. However, it is not recommended to use the IP helper-address to forward UDP broadcasts from one subnet to the broadcast address of another subnet, due to the large amount of broadcast flooding that may occur. Multiple IP helper-address entries on a single interface are supported as well, as shown below.

 

хотя думаю возможно будет если настроить

ip dhcp relay information policy-action replace

Edited July 16, 2016 by GrandPr1de

[FATHER_FBI]

Тут вся соль в том что, цыска когда получит dhcpdiscover завернутый в unicast, она отрелеит его дальше? И куда релеить свичам, если на цыске на SVI нет IP адреса. В моем понимании мне почему то кажется что можно повесить на SVI какой нибудь IP адрес, только для того что бы свич мог на него релеить пакеты, а дальше цыска этот пакет релеит дальше на DHCP

[GrandPr1de]

ну тут мне кажеться всё таки проблемы дизайна

опять таки шторм контрол - must have именно на доступе

валидным устройствам при правильных параметрах он никак не мешает, а вот сошедшим с ума не даст срать гадостью в сеть

что за кошка и сколько за ней хостов?

 

я даже просто не пойму как сформировать запрос в поисковик))))

отрелеить релееные дхцп запросы

жесть какая-то)))

а тема самому интересна, но увы ничего не нашел

 

там по идее не релей на ней нужен, а прокси

но это уже фишка вроде как ASR-ов, на счет других моделей не в курсе

Edited July 16, 2016 by GrandPr1de

[ShyLion]

Тут вся соль в том что, цыска когда получит dhcpdiscover завернутый в unicast, она отрелеит его дальше?

Юникаст будет доставлен получателю.

[zadrovets]

на домовых свичах включаеш dhcp relay, на цыске отключаеш --> профит

[buckethead]

Cisco с unnumbered не будет /32 маршруты на SVI создавать, так что профита не будет.

[Nik0n]

Cisco с unnumbered не будет /32 маршруты на SVI создавать, так что профита не будет.

Это почему это ? А это что ?

 

Core1#sh ip route vrf usr11
...
Gateway of last resort is A.B.228.100 to network 0.0.0.0

O*E2  0.0.0.0/0 [110/200] via A.B.228.100, 2w4d, Vlan811
     10.0.0.0/8 is variably subnetted, 15 subnets, 2 masks
C        10.10.0.0/21 is directly connected, Loopback111
S        10.10.0.21/32 is directly connected, Vlan1724
S        10.10.0.24/32 is directly connected, Vlan1827
S        10.10.0.25/32 is directly connected, Vlan1827
S        10.10.0.27/32 is directly connected, Vlan1827
S        10.10.0.28/32 is directly connected, Vlan1827
S        10.10.0.31/32 is directly connected, Vlan1827
S        10.10.0.32/32 is directly connected, Vlan1827
S        10.10.0.33/32 is directly connected, Vlan1827
S        10.10.0.34/32 is directly connected, Vlan1827
L        10.10.7.251/32 is directly connected, Loopback111
L        10.10.7.253/32 is directly connected, Loopback111
...

 

[buckethead]

Cisco в качестве relay, DHCP broadcast?

[FATHER_FBI]

ну тут мне кажеться всё таки проблемы дизайна

опять таки шторм контрол - must have именно на доступе

валидным устройствам при правильных параметрах он никак не мешает, а вот сошедшим с ума не даст срать гадостью в сеть

что за кошка и сколько за ней хостов?

 

я даже просто не пойму как сформировать запрос в поисковик))))

отрелеить релееные дхцп запросы

жесть какая-то)))

а тема самому интересна, но увы ничего не нашел

 

там по идее не релей на ней нужен, а прокси

но это уже фишка вроде как ASR-ов, на счет других моделей не в курсе

storm-control везде настроен, но он не всегда спасает. Даже настроен на агрегациях.

Cisco 4948-10GE хостов на ней до*уя

Справляется она отлично

Загрузка CPU

 

Вся проблема заключается в том что если в городе моргнул свет и вся эта орава хомячком включается, на ядро прибегает херова туча бродкаста DHCPDISCOVER, если все пакеты пропускать на ядро, оно падает. Падает как, или перезагрузка или загрузка CPU over 100% + деградация абонентского трафика (пинги рвут, сессии рвутся) до тех пор пока каждый не получит лизу а получают они ее в таком режиме долго. На данный момент настроен везде storm-control, но если все массово идут за лизой, большая часть пакетов дропается и поэтому некоторые абоненты ждут до 15 минут пока получать IP.

 

на домовых свичах включаеш dhcp relay, на цыске отключаеш --> профит

У меня свичи не видят DHCP сервер.

 

 

 

P.S. Пока что вижу один вариант. Поставить С4900М, посмотреть как она себя покажет, если так же будет рыгать, тогда буду думать с прокси или же на каждый район/сегмент буду ставить свое ядро.

Edited July 20, 2016 by FATHER_FBI

[GrandPr1de]

ну с 4900М будут те же проблемы мне кажеться

тут лучше играться с CoPP я думаю

 

как вариант конечно врубить поллинг а релей и снупинг унести на доступ, но хз какие грабли там вылезут, так что думаю лучше CoPP настроить правильно

[FATHER_FBI]

ну с 4900М будут те же проблемы мне кажеться

тут лучше играться с CoPP я думаю

 

как вариант конечно врубить поллинг а релей и снупинг унести на доступ, но хз какие грабли там вылезут, так что думаю лучше CoPP настроить правильно

А толку? За полисить dhcp пакеты? Опять же, половину пакетов будем дропать.

[Nik0n]

Cisco в качестве relay, DHCP broadcast?

Да.

Перечитал тему внимательно. Понял что Вы про другие условия (выключен relay и т.п.)

[GrandPr1de]

ну с 4900М будут те же проблемы мне кажеться

тут лучше играться с CoPP я думаю

 

как вариант конечно врубить поллинг а релей и снупинг унести на доступ, но хз какие грабли там вылезут, так что думаю лучше CoPP настроить правильно

А толку? За полисить dhcp пакеты? Опять же, половину пакетов будем дропать.

всё равно мне кажется что это проблема дизайна, нежели железки

если storm-control везде включен и не помогает, либо пороги завышены, либо опять таки дизайн

есть возможность унести dhcp server непосредственно на циску? тогда она сможет отвечать на юникаст запросы

релить юникаст запросы думаю точно не выйдет, разве что она будет выступать dhcp сервером

ну или сегментировать по железкам, дабы уменьшить влияние

 

 

[Nik0n]

А ip dhcp snooping limit rate <1-2048> разве не поможет?

[buckethead]

У DHCP Snooping есть внутренняя общая очередь, которая никак не конфигурируется, насколько мне известно. При её переполнении сообщения DHCP для VLAN, на которых он активирован, будут дропаться безусловно. Зато CPU не будет в полку уходить.

sh ip dhcp snooping statistics detail

Queue full = 249542

 

Как минимум на c6500 такое поведение есть, на c49 наверняка так же.

[FATHER_FBI]

всё равно мне кажется что это проблема дизайна, нежели железки

если storm-control везде включен и не помогает, либо пороги завышены, либо опять таки дизайн

есть возможность унести dhcp server непосредственно на циску? тогда она сможет отвечать на юникаст запросы

релить юникаст запросы думаю точно не выйдет, разве что она будет выступать dhcp сервером

ну или сегментировать по железкам, дабы уменьшить влияние

Я не думаю что DHCP на цыске будет работать шустрей ISC DHCP и если выносить DHCP на цыску, нужно будет перепиливать биллинг. Скорей всего решение только одно, увеличивать количество ядер. И нагрузка на каждое будет меньше, и в случае аварии отпадает только сегмент сети.

А ip dhcp snooping limit rate <1-2048> разве не поможет?

Это опциональный функционал dhcp snooping. Я даже не представляю зачем включать dhcp-snooping на ядре.

[Nik0n]

Я даже не представляю зачем включать dhcp-snooping на ядре.

Как ЗАЧЕМ? Из-за ip unnumbered!

Без dhcp-snooping маршруты до клиентских IP в нужные VLAN не установятся!

[FATHER_FBI]

Я даже не представляю зачем включать dhcp-snooping на ядре.

Как ЗАЧЕМ? Из-за ip unnumbered!

Без dhcp-snooping маршруты до клиентских IP в нужные VLAN не установятся!

CORE-1#show ip dhcp snooping
Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
  circuit-id default format: vlan-mod-port
  remote-id: 00сd.70c7.a790 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:

Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------

Как оно тогда у меня работает?

[Nik0n]

Как оно тогда у меня работает?

Э-э-э не знаю. Когда я настраивал 8 лет назад (на 3550) у меня получалось только с включенным dhcp snooping.

Да и сейчас на 4900М когда выключишь на VLAN dhcp snooping - не будет клиент в VLAN IP по DHCP получать т.к DHCP Relay не отработает.

[FATHER_FBI]

Как оно тогда у меня работает?

Э-э-э не знаю. Когда я настраивал 8 лет назад (на 3550) у меня получалось только с включенным dhcp snooping.

Да и сейчас на 4900М когда выключишь на VLAN dhcp snooping - не будет клиент в VLAN IP по DHCP получать т.к DHCP Relay не отработает.

Можете показать конфиг?

[Nik0n]

Можете показать конфиг?

Целиком он очень очень большой. Поэтому фрагменты.

ip dhcp snooping vlan 10-54,56-775,777-810,814-818,824-882,884-980,982-984,986
ip dhcp snooping vlan <еще куча VLAN>
ip dhcp snooping information option allow-untrusted
ip dhcp snooping database tftp://192.168.6.1/dhcpbind/core1.dat
ip dhcp snooping

каждая подсеть на своем Loopback
interface Loopback111
vrf forwarding usr11
ip address 10.10.7.253 255.255.248.0 secondary
ip address 10.10.7.251 255.255.248.0

interface Port-channel2
description <тут отвечает ISC DHCP сервер>
ip dhcp relay information trusted
ip dhcp snooping trust

И куча SVI, например
interface Vlan1724
vrf forwarding usr11
ip unnumbered Loopback111
ip helper-address 192.168.6.1

 

 

Привязки для VLAN (схема VLAN/свич, есть и VLAN/port)
#sh ip dhcp snooping bind vlan 1724
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
90:94:E4:36:XX:17   10.10.0.21       39849       dhcp-snooping   1724  TenGigabitEthernet1/6
00:1B:38:A9:XX:BD   10.10.0.36       31236       dhcp-snooping   1724  TenGigabitEthernet1/6
Total number of bindings: 2

тут видно что есть маршрут в нужный VLAN
#sh ip route vrf usr11 10.10.0.36

Routing Table: usr11
Routing entry for 10.10.0.36/32
 Known via "static", distance 1, metric 0 (connected)
 Routing Descriptor Blocks:
 * directly connected, via Vlan1724
     Route metric is 0, traffic share count is 1

А вот если IP не выдан, то трафик некуда отправлять
#sh ip route vrf usr11 10.10.0.132

Routing Table: usr11
Routing entry for 10.10.0.0/21
 Known via "connected", distance 0, metric 0 (connected, via interface)
 Redistributing via ospf 11
 Routing Descriptor Blocks:
 * directly connected, via Loopback111
     Route metric is 0, traffic share count is 1

Натиться на других железках (2хSE100).

 

 

Да есть один недостаток.

Когда вдруг cisco рестартует, она успешно загружает лизы которые сама сохраняла.

Привязки IP-MAC восстанавливаются - а вот МАРШРУТЫ - НЕТ.

Клиентам приходиться посылать с нуля DHCPDISCOVER иначе ни чего у них не работает.