[mnemonic]

Всем привет!

 

 

Делаем VLAN на пользователя. На коммутаторах доступа Catalyst 2950 каждый порт находится в своём VLAN + добавляется Option 82.

Все DHCP запросы доходят до агрегирующего коммутатора Catalyst 3550 с IP Unnumbered и DHCP Snooping. Коммутатор перенаправляет DHCP запросы на DHCP сервер (ISC-DHCP, FreeBSD).

 

Вот отрывок из dhcpd.conf

 

subnet 172.17.0.0 netmask 255.255.0.0 {
    option routers 172.17.0.1;
  }    
    class "vlan1010" {
        match if binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1010";
    }    
    class "vlan1011" {
        match if binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)) = "1011";
    }
    pool {
        range 172.17.0.5;
    allow members of "vlan1010";
    }    
    pool {
        range 172.17.0.6;
    allow members of "vlan1011";
    }

 

IP адреса выдаются в нужные VLAN, всё работает. Но необходимо выделить пул адресов из той же подсети для VLAN для которых не прописаны классы в dhcpd.conf. То есть как-бы сделать пул адресов для неавторизованных абонентов.

 

Пробовал добавлять класс с MAC адресом релея с которого приходят запросы, но тогда начинают выдаваться IP адреса из пула этого класса всем VLAN'ам несмотря на то что для них есть отдельные классы.

 

Подскажите как сделать?

[BuHast]

ИМХО, отдельный класс не нужен. Просто нужно указывать в отдельном пуле что-то вида allow unknown-users...

[mnemonic]

ИМХО, отдельный класс не нужен. Просто нужно указывать в отдельном пуле что-то вида allow unknown-users...

Добавил строки в конфиг

 

pool {
            range 172.17.254.10 172.17.254.20;
            allow unknown-clients;
         }

 

после этого выдаются IP только из этого пула. option 82 как будто игнорируется

[BuHast]

Туда же дописать:

Deny members of vlan1101

Deny members of vlan1102

[mnemonic]

Туда же дописать:

Deny members of vlan1101

Deny members of vlan1102

Большое спасибо за помощь!

[charliecharlie]

поставил на столе циску 4006 с сап3, хочу по порту выдавать ип

если включаю просто релей, то комп получает ип без проблем

!

interface FastEthernet2/33

no switchport

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

interface FastEthernet2/34

no switchport

ip address 192.168.0.222 255.255.255.0

!

 

конф дхцп

subnet 10.10.10.0 netmask 255.255.255.0 {

range 10.10.10.120 10.10.10.140;

option routers 10.10.10.1;

allow unknown-clients;

}

 

дебаг

 

Wrote 0 leases to leases file.

Listening on Socket/ed1/192.168.0/24

Sending on Socket/ed1/192.168.0/24

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPREQUEST for 10.10.10.140 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPACK on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

 

а если включаю опт82 на циске

Switch#sh ip dh sn

Switch DHCP snooping is disabled

DHCP snooping is configured on following VLANs:

none

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

с таким конфом дхцп

 

subnet 10.10.10.0 netmask 255.255.255.0 {

class "port-33" {

match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "33";

}

pool {

range 10.10.10.33 10.10.10.33;

allow members of "port-33";

}

}

 

то дебаг выдает

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

 

тоже самое если включаю еще на циске снупинг и

ip dhcp snooping information option allow-untrusted

 

не пойму в чем проблема или опт82 не вставляется на циске или

неправильно класс описал в дхцп или еще в чем-то