Jump to content

помогите разобраться почему не проходит Opt 82

kid79
 Share

Recommended Posts

kid79

kid79

Posted
Posted

Всем добрый день.т.к видимо в старые темы никто не заглядывает открою новую. проблема в следущем, есть dhcp сервер, и есть коммутатор с настроенным ip unnambred vlan per user, решили расширить функционал влан на свич, но почему то абоненты на стенде не подключаются.

вот конфиг подсети с dhcp сервера ( подсеть влан на свич)

Скрытый текст

 

    class "inv_sw_192.168.27.2" {
match if (
    binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0"
    and
    binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2"
);
    }
    pool {
range 192.168.27.2;
allow members of "inv_sw_192.168.27.2";
    }
 

e8:cc:18:ce:dc:0-mac коммутатора (dlink-3200) подключенного в циску.

конфиг с циски
ip dhcp relay information policy keep
ip dhcp relay information trust-all
ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000
ip dhcp snooping information option format remote-id hostname
no ip dhcp snooping verify mac-address
no ip dhcp snooping verify no-relay-agent-address
ip dhcp snooping
 

interface Loopback5
 ip address 192.168.27.1 255.255.255.0
 no ip redirects
 no ip unreachables

 

interface GigabitEthernet1/27
 TEST
 switchport trunk allowed vlan 100,4001
 switchport mode trunk
 

4001-абон влан на доступе.

 

в логах dhcp сервера вижу dhcpd: DHCPDISCOVER from 64:ee:b7:14:0a:1e via 192.168.27.1: network PHOTON: no free leases
что я не так делаю?

image.thumb.png.d63c9558f29acd9ef30049f8d60ca1f8.png

kid79

kid79

Posted
  • Author
Posted

а разве не свич доступа должен добавлять опцию ? хотя я пробовал и в снупинг добавлял 4001 влан
сейчас на доступ на тест поставил dlink des-3200
2 vlan
100-managment 

4001 abon

Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status         : Enabled
DHCP/BOOTP Local Relay VID List       : 4001

DHCP Relay Agent Information Option 82 Circuit ID : Default
DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00

 

и policy keep на всех портах

show dhcp_local_relay option_82 ports 2

Port  Option 82
      Policy
----  ---------
2     keep
 

kid79

kid79

Posted
  • Author
Posted

прикрепляю схему подключения и дамп с абон свича поты аплинк и абон порт
Все порты на циске с ip unnambered в trust
show ip dhcp relay information trusted-sources
All interfaces are trusted source of relay agent information option
насколько я понимаю до релея запрос рассылается бродкастом, а дальше до dhcp сервера уже юникастом идет?

дальше делаю дамп на самом дхцп сервере

    176.111.xxx.1.67 > 172.10.0.2.67: BOOTP/DHCP, Request from 64:ee:b7:14:0a:1e, length 552, hops 1, xid 0x75f5588d, Flags [none]
          Gateway-IP 176.111.xxx.1
          Client-Ethernet-Address 64:ee:b7:14:0a:1e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether 64:ee:b7:14:0a:1e
            Vendor-Class Option 60, length 8: "MSFT 5.0"
            Requested-IP Option 50, length 4: 192.168.27.2
            Parameter-Request Option 55, length 12:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
              BR, Static-Route, YD, YS
              NTP, Netbios-Name-Server, Classless-Static-Route-Microsoft, Classless-Static-Route
            Agent-Information Option 82, length 29:
              Circuit-ID SubOption 1, length 6: ^@^D^OM-!^@^B
              Remote-ID SubOption 2, length 19: ^A^QE8-CC-18-CE-DC-00
 

с учетом того что опцию должен добавлять абон свич а циска только релеить попробовал настроить абон свич вот так

vlan MNG управления
vlan 4001 абон
Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status : Enabled
DHCP/BOOTP Local Relay VID List : 4001

DHCP Relay Agent Information Option 82 Circuit ID : Default
DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00
show dhcp_local_relay option_82 ports 1-26

Port Option 82
Policy
---- ---------
1 keep
2 keep
на всех портах Policy keep

 

на циске тоже поменял конфигурацию
ip dhcp relay information policy keep
ip dhcp relay information trust-all
ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping
interface Loopback10
description users gateway
ip address 192.168.27.1 255.255.255.0 secondary
ip address 176.111.xxx.1 255.255.255.0
no ip redirects
no ip unreachables
interface Vlan4001
ip unnumbered Loopback10
ip helper-address 172.10.0.2
ip route 0.0.0.0 0.0.0.0 10.255.255.5

 

порт в сторону абон свича
interface GigabitEthernet1/27
 switchport trunk allowed vlan 100,4001
 switchport mode trunk
 

конфиг дхцп  сервера

authoritative;
ddns-update-style none;
log-facility local7;
always-broadcast on;

if exists agent.circuit-id {
log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address),
" MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)),
" port ",binary-to-ascii(10,16, "",substring(option agent.circuit-id, 4,
2)),
" VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2))
));
}
shared-network PHOTON {
  subnet 172.10.0.0 netmask 255.255.255.240 {
  }
subnet 192.168.27.0 netmask 255.255.255.0 {
            option domain-name-servers 176.111.248.126, 8.8.8.8;
            option subnet-mask 255.255.255.0;
            option routers 192.168.27.1;
            max-lease-time 1296000;
            default-lease-time 604800;
            include "/etc/dhcp/192.168.27.0.conf";
        }
конфиг зоны

cat /etc/dhcp/192.168.27.0.conf

    class "inv_sw_192.168.27.2" {
match if (
    binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0"
    and
    binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2"
);
    }
    pool {
range 192.168.27.2;
allow members of "inv_sw_192.168.27.2";
 

 

 

1.png

DLINK-3p.pcap

UglyAdmin

UglyAdmin

Posted
Posted
21 час назад, kid79 сказал:

а разве не свич доступа должен добавлять опцию ?

Какое оборудование настроите - то и будет добавлять. У меня БРАС добавляет, например. :)

kid79

kid79

Posted
  • Author
Posted (edited)

включил я на 4001 влане снупинг, 

ip dhcp snooping vlan 1-701,703-904,906-907,909-1000,1006-2000,2002-3000,4001

теперь до дхцп дисковеры не приходят

когда включаю на циске абон влан в снупинг в статистеке наблюдаю

show ip dhcp snooping statistics detail
 Packets Processed by DHCP Snooping                    = 28
 Packets Dropped Because
   IDB not known                                       = 0
   Queue full                                          = 0
   Interface is in errdisabled                         = 0
   Rate limit exceeded                                 = 0
   Received on untrusted ports                         = 0
   Nonzero giaddr                                      = 4
 

по  nonzero  гуглится вот этот пост https://community.cisco.com/t5/routing/dhcp-snooping-issue/td-p/3056005 , пробовал, включал.

Edited by kid79
nemo_lynx

nemo_lynx

Posted
Posted

 

4 часа назад, kid79 сказал:

Все порты на циске с ip unnambered в trust

Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст?

kid79

kid79

Posted
  • Author
Posted
3 минуты назад, nemo_lynx сказал:

 

Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст?

нет, нету
interface Vlan2001
 ip address 10.255.255.6 255.255.255.252
 

kid79

kid79

Posted
  • Author
Posted
5 минут назад, nemo_lynx сказал:

Это убрать:

ip dhcp snooping information option format remote-id hostname 

А вот такое добавить:

ip dhcp snooping information option allow-untrusted

если так делаю то у меня сразу перестают работать абоненты с влан на абонента они тоже по опции работают но с самой циски
class "class_192.168.5.110" {
    match if (
        binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1044" тут только не номер порта а влан
        and
        substring(option agent.remote-id, 2, extract-int(substring(option agent.remote-id, 1, 1), 8)) = "c3550_2"
    );
 

nemo_lynx

nemo_lynx

Posted
Posted (edited)

Да, тогда не надо.

Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг?

 

Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html

Edited by nemo_lynx
zhenya`

zhenya`

Posted
Posted
56 минут назад, nemo_lynx сказал:

Да, тогда не надо.

Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг?

 

Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html

Тогда циска не будет рисовать статики ) 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.