Jump to content
Калькуляторы

DHCP & option 82 Cisco 4006 sup3 L3 insertion option 82 не вставляется

Хочу сделать такую схему:

1. Доступ умеет только влан dotQ

2. Агрегация Л3, терминируем доступ и вставляем опцию 82 в дхцп запрос который пришел от клиента

3. Ядро Л2

4. В ядро включен дхцп сервер, который по мак и порту агрегации и влану свича доступа выдает ип клиенту

 

реально ли такое сделать?

кот делал подобное? в какой схеме и на каком оборудовании?

 

Я наступли на такие грабли:

 

Дано ICS-Dhcp сервер 3.03, висит на 192.168.0.55 , конф

subnet 10.10.10.0 netmask 255.255.255.0 {

class "port-27" {

match if binary-to-ascii (10, 8, "/", substring (option agent.circuit-id, 4, 4)) = "2/27";

}

pool {

range 10.10.10.27;

allow members of "port-27";

}

}

 

включен в Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14

Mod Ports Card Type Model Serial No.

---+-----+--------------------------------------+------------------+-----------

1 2 Supervisor III 1000BaseX (GBIC) WS-X4014 JAB081104MQ

2 34 10/100BaseTX (RJ45), 1000BaseX (GBIC) WS-X4232-GB-RJ JAE054001CD

 

в порт

!

interface FastEthernet2/34

no switchport

ip address 192.168.0.222 255.255.255.0

!

 

комп который должен получить ип по дхцп включен

в порт

!

interface FastEthernet2/27

switchport access vlan 2

switchport mode access

!

interface Vlan2

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

Switch#sh ip dh sn

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1-2

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

в таком виде опция82 на циске вставляется, комп получает ип согласно опции82

 

дебаг на циске

00:38:51: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27)

00:38:51: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37

00:38:51: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312

00:38:51: DHCP_SNOOPING: add relay information option.

00:38:51: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:38:51: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2)

00:38:51: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2.

00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data:

0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B

00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data:

0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING: remove relay information option.

00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27.

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312

00:38:52: DHCP_SNOOPING: add relay information option.

00:38:52: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:38:52: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2)

00:38:52: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2.

00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data:

0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B

00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data:

0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING: remove relay information option.

00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27.

 

дебаг дхцп сервера

Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1

DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37

DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

 

НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек)

 

перевожу интерфейс который смотрит на клиентов в Л3

!

interface FastEthernet2/27

no switchport

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

 

и дебаг снупинг циска вообще не выводит

по тспдампу видно что опция82 не вставляется

ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68

tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes

14:24:12.083974 IP (tos 0x0, ttl 255, id 44, offset 0, flags [none], proto: UDP (17), length: 328) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 300, hops:1, xid:0x357a8e1c, secs:3072, flags: [none]

Gateway IP: 10.10.10.1

Client Ethernet Address: 00:11:2f:80:6b:37

Vendor-rfc1048:

DHCP:DISCOVER

NOAUTO:Y

CID:[ether]00:11:2f:80:6b:37

HN:"philka"

VC:"MSFT 5.0"

PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO

дебаг дхцп соответственно

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

 

Возможно ли вообще чтобы на Л3 интерфейсе циска вставляла опцию 82?

если невозможно , то как можно реализовать схему терминация на агрегации и выдача ип по порту на циске и номеру VID на свиче доступа?

Edited by charliecharlie

Share this post


Link to post
Share on other sites

похоже что кроме схемы (http://forum.nag.ru/forum/index.php?act=attach&type=post&id=1639) предложенной Stak здесь http://forum.nag.ru/forum/index.php?showtopic=45488&st=0 больше вариантов нету, схема красивая

но в ней получается не влан на юзера, а влан на группу юзеров которые находятся в разных домах

-усложняется контроль

-при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса

т.е. привязка будет не на порт агрегации а на свободный влан(порт) на свиче доступа

Edited by charliecharlie

Share this post


Link to post
Share on other sites
-при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса
Если почитаете ту тему до конца, то там адрес к пользователю вообще не привязан, т.к. выдаётся он с ISG до аутентификации)

 

НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек)
Делайте как тут:

nterface Vlan2

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

Switch#sh ip dh sn

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1-2

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

Однако если ip unnumbered не поддерживается - получится не очень красиво...

хотя если дхцп снупинг будет вместе с ip source guard то жить можно. Адреса на Vlan интерфейсы придётся нарезать блоками, и создавать соотв. число пулов на дхцп-сервере.

Share this post


Link to post
Share on other sites

Предложенная схема Stak, кроме однотиповых настроек свичей доступа, позволяют использовать

супердешевые свичи на базе риалтека, которые могут дот.Й, но могут вставлять VID только от 1 до 8

делаются из обычной мыльницы впаиванием епромки, PHY и трансивера вдм

НО имеют недостаток - сложную систематизацию ип-адресов абонентов, если требуется выдавать

абонентам статический адрес, что позволяет обойтись без аутентификации.

Так у абонента в квартире может быть несколько комп и т.п. выдавать абоненту нужно несколько

ип-адресов, скажем 4 или 5 должно хватить

 

системы определения ип-адреса абонента следующие

1. Параноя, выдаем на абонента подсеть /29 со своим gw, итого он имеет 5 адресов (хотя по этой схеме ему можно и всю /24 сеть отдать)

и имеет доступ к другим участникам его влана только через gw

10.Х2.Х3.Х4

Х2 = (Y-1) * Vmax + V

X3 = (M-M1) * Nmax +N

X3 - порядковый номер абонента на данном узле агрегации, порту и влане,

где

Y - порядковый номер узла агрегации (от 1 до 10)

V - порядковый номер vlan (от 1 до 8)

Vmax - максимальный номер vlan

M - порядковый номер модуля портов агрегации (от 1 до 5)

M1 - номер первого модуля (все модули портов доступа должны идти по порядку)

N - кол-во портов доступа в модуле (от 1 до 24)

Nmax - максимальное кол-во портов агрегации в модуле

 

2. Легкий, выдаем клиенту ип-адреса с маской /31, т.е. он получает 2 адреса, но с общим gw

тогда система упрощается

10.Х2.Х3.Х4

Х2 = Y

X3 = V

X3 - порядковый номер абонента на данном узле агрегации и влане,

 

 

это все актуально если мы хотим терминировать вланы на агрегации и оборудование агрегации поддерживает

DHCP snooping + option 82 + IP source guard

НО не поддерживает IP-unnumbered on SVI (смотрим посты выше с конфигурацией)

Edited by charliecharlie

Share this post


Link to post
Share on other sites

собственно настройки на агрегации

 

!

ip dhcp snooping vlan 11-18

ip dhcp snooping

!

 

порт который смотрит на свич доступа

!

interface FastEthernet2/4

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 11-18

switchport mode trunk

ip verify source vlan dhcp-snooping port-security

!

!

interface Vlan15

ip address 10.15.4.1 255.255.255.0

ip helper-address 192.168.0.55

!

 

все работает, если прописываю ип вручную, шлюза не вижу

получаю по дхцп - все работает

Share this post


Link to post
Share on other sites

Вы первый, у кого кроме меня по этой схеме получилось собрать стенд)))

Share this post


Link to post
Share on other sites

Stak если использовать в качестве сервера ICS-Dhcp то тогда можно сказать второй... :) ваша схема работает, и просто коммутаоры 3028 на доме тоже работают...

а вот в качестве сервера использовать Cisco так и не получилось...

(Версию прошивки кинь Пожалуйста)

 

Share this post


Link to post
Share on other sites

В лабе с динамипсом с дхцп на ИСГ у меня работали эти:

c7200-k91p-mz.122-31.SB14.bin

c7200-ik91s-mz.122-31.SB14.bin

 

А вот что было на 871й уже не знаю... возможно этот: c870-advipservicesk9-mz.124-11.T1.bin

Share this post


Link to post
Share on other sites
а вот в качестве сервера использовать Cisco так и не получилось...

(Версию прошивки кинь Пожалуйста)

а смысл использовать циску сервером дхцп???

Share this post


Link to post
Share on other sites
а смысл использовать циску сервером дхцп???

Смысл когда на ней при этом есть ИСГ и она работает брасом. Для Л3 коннектед субскрайберов она по другому не умеет)

Share this post


Link to post
Share on other sites
Однако если ip unnumbered не поддерживается - получится не очень красиво...
он вроде бы поддерживается, по крайней мере команды есть

но запустить его не удалось

 

Switch(config)#int loopback 1

Switch(config-if)#ip address 10.10.10.0 255.255.0.0

Switch(config-if)#no ip redirects

Switch(config-if)#exit

Switch(config)#interface vlan 11

Switch(config-if)#ip unnumbered Loopback 1

Point-to-point (non-multi-access) interfaces only

Switch(config-if)#

 

может цисководы подскажут куда копать?

Share this post


Link to post
Share on other sites

В сторону CAT4500-SUP4/CAT4500-SUP5/CAT4500-SUP2-PLUS... На sup3 не поддерживается.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this