[kid79]

Всем добрый день.т.к видимо в старые темы никто не заглядывает открою новую. проблема в следущем, есть dhcp сервер, и есть коммутатор с настроенным ip unnambred vlan per user, решили расширить функционал влан на свич, но почему то абоненты на стенде не подключаются.

вот конфиг подсети с dhcp сервера ( подсеть влан на свич)

Скрытый текст

 

    class "inv_sw_192.168.27.2" {
match if (
    binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0"
    and
    binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2"
);
    }
    pool {
range 192.168.27.2;
allow members of "inv_sw_192.168.27.2";
    }
 

e8:cc:18:ce:dc:0-mac коммутатора (dlink-3200) подключенного в циску.

конфиг с циски
ip dhcp relay information policy keep
ip dhcp relay information trust-all
ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000
ip dhcp snooping information option format remote-id hostname
no ip dhcp snooping verify mac-address
no ip dhcp snooping verify no-relay-agent-address
ip dhcp snooping
 

interface Loopback5
 ip address 192.168.27.1 255.255.255.0
 no ip redirects
 no ip unreachables

 

interface GigabitEthernet1/27
 TEST
 switchport trunk allowed vlan 100,4001
 switchport mode trunk
 

4001-абон влан на доступе.

 

в логах dhcp сервера вижу dhcpd: DHCPDISCOVER from 64:ee:b7:14:0a:1e via 192.168.27.1: network PHOTON: no free leases
что я не так делаю?

[nemo_lynx]

Если абонентский влан 4001, то почему он не включен в ip dhcp snooping vlan ?

[kid79]

а разве не свич доступа должен добавлять опцию ? хотя я пробовал и в снупинг добавлял 4001 влан
сейчас на доступ на тест поставил dlink des-3200
2 vlan
100-managment 

4001 abon

Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status         : Enabled
DHCP/BOOTP Local Relay VID List       : 4001

DHCP Relay Agent Information Option 82 Circuit ID : Default
DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00

 

и policy keep на всех портах

show dhcp_local_relay option_82 ports 2

Port  Option 82
      Policy
----  ---------
2     keep
 

[zhenya`]

На порту доступа keep? Дампы сделайте на дхцп. И приложите pcap

[Nikan]

ip dhcp snooping 4001

 

и на транковых портах сыски прописать ip dhcp snooping trust

[kid79]

прикрепляю схему подключения и дамп с абон свича поты аплинк и абон порт
Все порты на циске с ip unnambered в trust
show ip dhcp relay information trusted-sources
All interfaces are trusted source of relay agent information option
насколько я понимаю до релея запрос рассылается бродкастом, а дальше до dhcp сервера уже юникастом идет?

дальше делаю дамп на самом дхцп сервере

    176.111.xxx.1.67 > 172.10.0.2.67: BOOTP/DHCP, Request from 64:ee:b7:14:0a:1e, length 552, hops 1, xid 0x75f5588d, Flags [none]
          Gateway-IP 176.111.xxx.1
          Client-Ethernet-Address 64:ee:b7:14:0a:1e
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Client-ID Option 61, length 7: ether 64:ee:b7:14:0a:1e
            Vendor-Class Option 60, length 8: "MSFT 5.0"
            Requested-IP Option 50, length 4: 192.168.27.2
            Parameter-Request Option 55, length 12:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
              BR, Static-Route, YD, YS
              NTP, Netbios-Name-Server, Classless-Static-Route-Microsoft, Classless-Static-Route
            Agent-Information Option 82, length 29:
              Circuit-ID SubOption 1, length 6: ^@^D^OM-!^@^B
              Remote-ID SubOption 2, length 19: ^A^QE8-CC-18-CE-DC-00
 

с учетом того что опцию должен добавлять абон свич а циска только релеить попробовал настроить абон свич вот так

vlan MNG управления
vlan 4001 абон
Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status : Enabled
DHCP/BOOTP Local Relay VID List : 4001

DHCP Relay Agent Information Option 82 Circuit ID : Default
DHCP Relay Agent Information Option 82 Remote ID : E8-CC-18-CE-DC-00
show dhcp_local_relay option_82 ports 1-26

Port Option 82
Policy
---- ---------
1 keep
2 keep
на всех портах Policy keep

 

на циске тоже поменял конфигурацию
ip dhcp relay information policy keep
ip dhcp relay information trust-all
ip dhcp snooping vlan 1-99,101-701,703-904,906-907,909-1000,1006-2000,2002-3000
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping
interface Loopback10
description users gateway
ip address 192.168.27.1 255.255.255.0 secondary
ip address 176.111.xxx.1 255.255.255.0
no ip redirects
no ip unreachables
interface Vlan4001
ip unnumbered Loopback10
ip helper-address 172.10.0.2
ip route 0.0.0.0 0.0.0.0 10.255.255.5

 

порт в сторону абон свича
interface GigabitEthernet1/27
 switchport trunk allowed vlan 100,4001
 switchport mode trunk
 

конфиг дхцп  сервера

authoritative;
ddns-update-style none;
log-facility local7;
always-broadcast on;

if exists agent.circuit-id {
log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address),
" MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)),
" port ",binary-to-ascii(10,16, "",substring(option agent.circuit-id, 4,
2)),
" VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2))
));
}
shared-network PHOTON {
  subnet 172.10.0.0 netmask 255.255.255.240 {
  }
subnet 192.168.27.0 netmask 255.255.255.0 {
            option domain-name-servers 176.111.248.126, 8.8.8.8;
            option subnet-mask 255.255.255.0;
            option routers 192.168.27.1;
            max-lease-time 1296000;
            default-lease-time 604800;
            include "/etc/dhcp/192.168.27.0.conf";
        }
конфиг зоны

cat /etc/dhcp/192.168.27.0.conf

    class "inv_sw_192.168.27.2" {
match if (
    binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6)) = "e8:cc:18:ce:dc:0"
    and
    binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "2"
);
    }
    pool {
range 192.168.27.2;
allow members of "inv_sw_192.168.27.2";
 

 

 

DLINK-3p.pcap

[UglyAdmin]

21 час назад, kid79 сказал:

а разве не свич доступа должен добавлять опцию ?

Какое оборудование настроите - то и будет добавлять. У меня БРАС добавляет, например. :)

[nemo_lynx]

У ТС-а длинк добавляет локал-релеем. Вот только он упорно не желает на циске включить на абонентском влане дхцп-снупинг. 

[kid79]

включил я на 4001 влане снупинг, 

ip dhcp snooping vlan 1-701,703-904,906-907,909-1000,1006-2000,2002-3000,4001

теперь до дхцп дисковеры не приходят

когда включаю на циске абон влан в снупинг в статистеке наблюдаю

show ip dhcp snooping statistics detail
 Packets Processed by DHCP Snooping                    = 28
 Packets Dropped Because
   IDB not known                                       = 0
   Queue full                                          = 0
   Interface is in errdisabled                         = 0
   Rate limit exceeded                                 = 0
   Received on untrusted ports                         = 0
   Nonzero giaddr                                      = 4
 

по  nonzero  гуглится вот этот пост https://community.cisco.com/t5/routing/dhcp-snooping-issue/td-p/3056005 , пробовал, включал.

Изменено 10 сентября, 2020 пользователем kid79

[nemo_lynx]

 

4 часа назад, kid79 сказал:

Все порты на циске с ip unnambered в trust

Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст?

[kid79]

3 минуты назад, nemo_lynx сказал:

 

Траст даётся тем портам, на которых НЕ НАДО дропать ОТВЕТЫ дхцп-сервера. На интерфейсе циски с адресом 10.255.255.6 сделан траст?

нет, нету
interface Vlan2001
 ip address 10.255.255.6 255.255.255.252
 

[nemo_lynx]

Это убрать:

ip dhcp snooping information option format remote-id hostname 

А вот такое добавить:

ip dhcp snooping information option allow-untrusted

[kid79]

5 минут назад, nemo_lynx сказал:

Это убрать:

ip dhcp snooping information option format remote-id hostname 

А вот такое добавить:

ip dhcp snooping information option allow-untrusted

если так делаю то у меня сразу перестают работать абоненты с влан на абонента они тоже по опции работают но с самой циски
class "class_192.168.5.110" {
    match if (
        binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1044" тут только не номер порта а влан
        and
        substring(option agent.remote-id, 2, extract-int(substring(option agent.remote-id, 1, 1), 8)) = "c3550_2"
    );
 

[nemo_lynx]

Да, тогда не надо.

Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг?

 

Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html

Изменено 10 сентября, 2020 пользователем nemo_lynx

[kid79]

можно было бы, но у меня много коммутаторов хуавей 2300 п там нет релеев, только снупинг

[kid79]

за ссылку спасибо, почитаю попробую

[zhenya`]

56 минут назад, nemo_lynx сказал:

Да, тогда не надо.

Тогда может проще настроить нормальный релей на длинке, а на циске на влане 4001 отключить релей и снупинг?

 

Вот неплохой пример настройки релея на циске http://kukachik.blogspot.com/2009/06/dhcp-snooping.html

Тогда циска не будет рисовать статики )