Jump to content
Калькуляторы

Помогите настроить DHCP сервер

Всем привет!

 

 

Делаем VLAN на пользователя. На коммутаторах доступа Catalyst 2950 каждый порт находится в своём VLAN + добавляется Option 82.

Все DHCP запросы доходят до агрегирующего коммутатора Catalyst 3550 с IP Unnumbered и DHCP Snooping. Коммутатор перенаправляет DHCP запросы на DHCP сервер (ISC-DHCP, FreeBSD).

 

Вот отрывок из dhcpd.conf

 

subnet 172.17.0.0 netmask 255.255.0.0 {
    option routers 172.17.0.1;
  }    
    class "vlan1010" {
        match if binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1010";
    }    
    class "vlan1011" {
        match if binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1011";
    }
    pool {
        range 172.17.0.5;
    allow members of "vlan1010";
    }    
    pool {
        range 172.17.0.6;
    allow members of "vlan1011";
    }

 

IP адреса выдаются в нужные VLAN, всё работает. Но необходимо выделить пул адресов из той же подсети для VLAN для которых не прописаны классы в dhcpd.conf. То есть как-бы сделать пул адресов для неавторизованных абонентов.

 

Пробовал добавлять класс с MAC адресом релея с которого приходят запросы, но тогда начинают выдаваться IP адреса из пула этого класса всем VLAN'ам несмотря на то что для них есть отдельные классы.

 

Подскажите как сделать?

Share this post


Link to post
Share on other sites

ИМХО, отдельный класс не нужен. Просто нужно указывать в отдельном пуле что-то вида allow unknown-users...

Share this post


Link to post
Share on other sites
ИМХО, отдельный класс не нужен. Просто нужно указывать в отдельном пуле что-то вида allow unknown-users...

Добавил строки в конфиг

 

pool {
            range 172.17.254.10 172.17.254.20;
            allow unknown-clients;
         }

 

после этого выдаются IP только из этого пула. option 82 как будто игнорируется

Share this post


Link to post
Share on other sites

Туда же дописать:

Deny members of vlan1101

Deny members of vlan1102

Share this post


Link to post
Share on other sites
Туда же дописать:

Deny members of vlan1101

Deny members of vlan1102

Большое спасибо за помощь!

Share this post


Link to post
Share on other sites

поставил на столе циску 4006 с сап3, хочу по порту выдавать ип

если включаю просто релей, то комп получает ип без проблем

!

interface FastEthernet2/33

no switchport

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

interface FastEthernet2/34

no switchport

ip address 192.168.0.222 255.255.255.0

!

 

конф дхцп

subnet 10.10.10.0 netmask 255.255.255.0 {

range 10.10.10.120 10.10.10.140;

option routers 10.10.10.1;

allow unknown-clients;

}

 

дебаг

 

Wrote 0 leases to leases file.

Listening on Socket/ed1/192.168.0/24

Sending on Socket/ed1/192.168.0/24

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPREQUEST for 10.10.10.140 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPACK on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

 

а если включаю опт82 на циске

Switch#sh ip dh sn

Switch DHCP snooping is disabled

DHCP snooping is configured on following VLANs:

none

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

с таким конфом дхцп

 

subnet 10.10.10.0 netmask 255.255.255.0 {

class "port-33" {

match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "33";

}

pool {

range 10.10.10.33 10.10.10.33;

allow members of "port-33";

}

}

 

то дебаг выдает

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

 

тоже самое если включаю еще на циске снупинг и

ip dhcp snooping information option allow-untrusted

 

не пойму в чем проблема или опт82 не вставляется на циске или

неправильно класс описал в дхцп или еще в чем-то

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this