DHCP & option 82

[charliecharlie]

Хочу сделать такую схему:

1. Доступ умеет только влан dotQ

2. Агрегация Л3, терминируем доступ и вставляем опцию 82 в дхцп запрос который пришел от клиента

3. Ядро Л2

4. В ядро включен дхцп сервер, который по мак и порту агрегации и влану свича доступа выдает ип клиенту

 

реально ли такое сделать?

кот делал подобное? в какой схеме и на каком оборудовании?

 

Я наступли на такие грабли:

 

Дано ICS-Dhcp сервер 3.03, висит на 192.168.0.55 , конф

subnet 10.10.10.0 netmask 255.255.255.0 {

class "port-27" {

match if binary-to-ascii (10, 8, "/", substring (option agent.circuit-id, 4, 4)) = "2/27";

}

pool {

range 10.10.10.27;

allow members of "port-27";

}

}

 

включен в Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14

Mod Ports Card Type Model Serial No.

---+-----+--------------------------------------+------------------+-----------

1 2 Supervisor III 1000BaseX (GBIC) WS-X4014 JAB081104MQ

2 34 10/100BaseTX (RJ45), 1000BaseX (GBIC) WS-X4232-GB-RJ JAE054001CD

 

в порт

!

interface FastEthernet2/34

no switchport

ip address 192.168.0.222 255.255.255.0

!

 

комп который должен получить ип по дхцп включен

в порт

!

interface FastEthernet2/27

switchport access vlan 2

switchport mode access

!

interface Vlan2

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

Switch#sh ip dh sn

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1-2

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

в таком виде опция82 на циске вставляется, комп получает ип согласно опции82

 

дебаг на циске

00:38:51: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27)

00:38:51: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37

00:38:51: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312

00:38:51: DHCP_SNOOPING: add relay information option.

00:38:51: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:38:51: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2)

00:38:51: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2.

00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data:

0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B

00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data:

0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING: remove relay information option.

00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27.

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312

00:38:52: DHCP_SNOOPING: add relay information option.

00:38:52: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format

00:38:52: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2)

00:38:52: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2.

00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2

00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2)

00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37

00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data:

0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data:

0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B

00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data:

0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet

00:38:52: DHCP_SNOOPING: remove relay information option.

00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27.

 

дебаг дхцп сервера

Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1

DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37

DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1

DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

 

НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек)

 

перевожу интерфейс который смотрит на клиентов в Л3

!

interface FastEthernet2/27

no switchport

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

 

и дебаг снупинг циска вообще не выводит

по тспдампу видно что опция82 не вставляется

ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68

tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes

14:24:12.083974 IP (tos 0x0, ttl 255, id 44, offset 0, flags [none], proto: UDP (17), length: 328) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 300, hops:1, xid:0x357a8e1c, secs:3072, flags: [none]

Gateway IP: 10.10.10.1

Client Ethernet Address: 00:11:2f:80:6b:37

Vendor-rfc1048:

DHCP:DISCOVER

NOAUTO:Y

CID:[ether]00:11:2f:80:6b:37

HN:"philka"

VC:"MSFT 5.0"

PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO

дебаг дхцп соответственно

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

 

Возможно ли вообще чтобы на Л3 интерфейсе циска вставляла опцию 82?

если невозможно , то как можно реализовать схему терминация на агрегации и выдача ип по порту на циске и номеру VID на свиче доступа?

Edited May 5, 2009 by charliecharlie

[charliecharlie]

похоже что кроме схемы (http://forum.nag.ru/forum/index.php?act=attach&type=post&id=1639) предложенной Stak здесь http://forum.nag.ru/forum/index.php?showtopic=45488&st=0 больше вариантов нету, схема красивая

но в ней получается не влан на юзера, а влан на группу юзеров которые находятся в разных домах

-усложняется контроль

-при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса

т.е. привязка будет не на порт агрегации а на свободный влан(порт) на свиче доступа

Edited May 5, 2009 by charliecharlie

[Stak]

-при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса

Если почитаете ту тему до конца, то там адрес к пользователю вообще не привязан, т.к. выдаётся он с ISG до аутентификации)

 

НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек)

Делайте как тут:

nterface Vlan2

ip address 10.10.10.1 255.255.255.0

ip helper-address 192.168.0.55

!

Switch#sh ip dh sn

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1-2

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

Switch#

 

Однако если ip unnumbered не поддерживается - получится не очень красиво...

хотя если дхцп снупинг будет вместе с ip source guard то жить можно. Адреса на Vlan интерфейсы придётся нарезать блоками, и создавать соотв. число пулов на дхцп-сервере.

[charliecharlie]

Предложенная схема Stak, кроме однотиповых настроек свичей доступа, позволяют использовать

супердешевые свичи на базе риалтека, которые могут дот.Й, но могут вставлять VID только от 1 до 8

делаются из обычной мыльницы впаиванием епромки, PHY и трансивера вдм

НО имеют недостаток - сложную систематизацию ип-адресов абонентов, если требуется выдавать

абонентам статический адрес, что позволяет обойтись без аутентификации.

Так у абонента в квартире может быть несколько комп и т.п. выдавать абоненту нужно несколько

ип-адресов, скажем 4 или 5 должно хватить

 

системы определения ип-адреса абонента следующие

1. Параноя, выдаем на абонента подсеть /29 со своим gw, итого он имеет 5 адресов (хотя по этой схеме ему можно и всю /24 сеть отдать)

и имеет доступ к другим участникам его влана только через gw

10.Х2.Х3.Х4

Х2 = (Y-1) * Vmax + V

X3 = (M-M1) * Nmax +N

X3 - порядковый номер абонента на данном узле агрегации, порту и влане,

где

Y - порядковый номер узла агрегации (от 1 до 10)

V - порядковый номер vlan (от 1 до 8)

Vmax - максимальный номер vlan

M - порядковый номер модуля портов агрегации (от 1 до 5)

M1 - номер первого модуля (все модули портов доступа должны идти по порядку)

N - кол-во портов доступа в модуле (от 1 до 24)

Nmax - максимальное кол-во портов агрегации в модуле

 

2. Легкий, выдаем клиенту ип-адреса с маской /31, т.е. он получает 2 адреса, но с общим gw

тогда система упрощается

10.Х2.Х3.Х4

Х2 = Y

X3 = V

X3 - порядковый номер абонента на данном узле агрегации и влане,

 

 

это все актуально если мы хотим терминировать вланы на агрегации и оборудование агрегации поддерживает

DHCP snooping + option 82 + IP source guard

НО не поддерживает IP-unnumbered on SVI (смотрим посты выше с конфигурацией)

Edited May 6, 2009 by charliecharlie

[charliecharlie]

собственно настройки на агрегации

 

!

ip dhcp snooping vlan 11-18

ip dhcp snooping

!

 

порт который смотрит на свич доступа

!

interface FastEthernet2/4

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 11-18

switchport mode trunk

ip verify source vlan dhcp-snooping port-security

!

!

interface Vlan15

ip address 10.15.4.1 255.255.255.0

ip helper-address 192.168.0.55

!

 

все работает, если прописываю ип вручную, шлюза не вижу

получаю по дхцп - все работает

[Stak]

Вы первый, у кого кроме меня по этой схеме получилось собрать стенд)))

[zoro]

Stak если использовать в качестве сервера ICS-Dhcp то тогда можно сказать второй... :) ваша схема работает, и просто коммутаоры 3028 на доме тоже работают...

а вот в качестве сервера использовать Cisco так и не получилось...

(Версию прошивки кинь Пожалуйста)

 

[Stak]

В лабе с динамипсом с дхцп на ИСГ у меня работали эти:

c7200-k91p-mz.122-31.SB14.bin

c7200-ik91s-mz.122-31.SB14.bin

 

А вот что было на 871й уже не знаю... возможно этот: c870-advipservicesk9-mz.124-11.T1.bin

[charliecharlie]

а вот в качестве сервера использовать Cisco так и не получилось...

(Версию прошивки кинь Пожалуйста)

а смысл использовать циску сервером дхцп???

[Stak]

а смысл использовать циску сервером дхцп???

Смысл когда на ней при этом есть ИСГ и она работает брасом. Для Л3 коннектед субскрайберов она по другому не умеет)

[charliecharlie]

Однако если ip unnumbered не поддерживается - получится не очень красиво...

он вроде бы поддерживается, по крайней мере команды есть

но запустить его не удалось

 

Switch(config)#int loopback 1

Switch(config-if)#ip address 10.10.10.0 255.255.0.0

Switch(config-if)#no ip redirects

Switch(config-if)#exit

Switch(config)#interface vlan 11

Switch(config-if)#ip unnumbered Loopback 1

Point-to-point (non-multi-access) interfaces only

Switch(config-if)#

 

может цисководы подскажут куда копать?

[Stak]

В сторону CAT4500-SUP4/CAT4500-SUP5/CAT4500-SUP2-PLUS... На sup3 не поддерживается.