charliecharlie Опубликовано 5 мая, 2009 (изменено) · Жалоба Хочу сделать такую схему: 1. Доступ умеет только влан dotQ 2. Агрегация Л3, терминируем доступ и вставляем опцию 82 в дхцп запрос который пришел от клиента 3. Ядро Л2 4. В ядро включен дхцп сервер, который по мак и порту агрегации и влану свича доступа выдает ип клиенту реально ли такое сделать? кот делал подобное? в какой схеме и на каком оборудовании? Я наступли на такие грабли: Дано ICS-Dhcp сервер 3.03, висит на 192.168.0.55 , конф subnet 10.10.10.0 netmask 255.255.255.0 { class "port-27" { match if binary-to-ascii (10, 8, "/", substring (option agent.circuit-id, 4, 4)) = "2/27"; } pool { range 10.10.10.27; allow members of "port-27"; } } включен в Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14 Mod Ports Card Type Model Serial No. ---+-----+--------------------------------------+------------------+----------- 1 2 Supervisor III 1000BaseX (GBIC) WS-X4014 JAB081104MQ 2 34 10/100BaseTX (RJ45), 1000BaseX (GBIC) WS-X4232-GB-RJ JAE054001CD в порт ! interface FastEthernet2/34 no switchport ip address 192.168.0.222 255.255.255.0 ! комп который должен получить ип по дхцп включен в порт ! interface FastEthernet2/27 switchport access vlan 2 switchport mode access ! interface Vlan2 ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! Switch#sh ip dh sn Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1-2 Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- Switch# в таком виде опция82 на циске вставляется, комп получает ип согласно опции82 дебаг на циске 00:38:51: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27) 00:38:51: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37 00:38:51: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312 00:38:51: DHCP_SNOOPING: add relay information option. 00:38:51: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:38:51: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:51: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2) 00:38:51: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2. 00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data: 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data: 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING: remove relay information option. 00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27. 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPREQUEST, input interface: Fa2/27, MAC da: ffff.ffff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b37, mat entry type: 1, port cookie: 418543312 00:38:52: DHCP_SNOOPING: add relay information option. 00:38:52: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 00:38:52: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (2) 00:38:52: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2. 00:38:52: Intercept routed DHCP Snooping packet from interface: Vl2 00:38:52: DHCP_SNOOPING: received new DHCP packet from input interface (Vlan2) 00:38:52: DHCP_SNOOPING: process new DHCP packet, message type: DHCPACK, input interface: Vl2, MAC da: ffff.ffff.ffff, MAC sa: 0008.a369.25ff, IP da: 255.255.255.255, IP sa: 10.10.10.1, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 10.10.10.27, DHCP siaddr: 0.0.0.0, DHCP giaddr: 10.10.10.1, DHCP chaddr: 0011.2f80.6b37 00:38:52: DHCP_SNOOPING: binary dump of option 82, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data: 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 00:38:52: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data: 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING_SW: opt82 data indicates local packet 00:38:52: DHCP_SNOOPING: remove relay information option. 00:38:52: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet2/27. дебаг дхцп сервера Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37 DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1 DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37 DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1 DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1 НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек) перевожу интерфейс который смотрит на клиентов в Л3 ! interface FastEthernet2/27 no switchport ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! и дебаг снупинг циска вообще не выводит по тспдампу видно что опция82 не вставляется ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68 tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:24:12.083974 IP (tos 0x0, ttl 255, id 44, offset 0, flags [none], proto: UDP (17), length: 328) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 300, hops:1, xid:0x357a8e1c, secs:3072, flags: [none] Gateway IP: 10.10.10.1 Client Ethernet Address: 00:11:2f:80:6b:37 Vendor-rfc1048: DHCP:DISCOVER NOAUTO:Y CID:[ether]00:11:2f:80:6b:37 HN:"philka" VC:"MSFT 5.0" PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO дебаг дхцп соответственно DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases Возможно ли вообще чтобы на Л3 интерфейсе циска вставляла опцию 82? если невозможно , то как можно реализовать схему терминация на агрегации и выдача ип по порту на циске и номеру VID на свиче доступа? Изменено 5 мая, 2009 пользователем charliecharlie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 5 мая, 2009 (изменено) · Жалоба похоже что кроме схемы (http://forum.nag.ru/forum/index.php?act=attach&type=post&id=1639) предложенной Stak здесь http://forum.nag.ru/forum/index.php?showtopic=45488&st=0 больше вариантов нету, схема красивая но в ней получается не влан на юзера, а влан на группу юзеров которые находятся в разных домах -усложняется контроль -при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адреса т.е. привязка будет не на порт агрегации а на свободный влан(порт) на свиче доступа Изменено 5 мая, 2009 пользователем charliecharlie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 5 мая, 2009 · Жалоба -при регистрации нового юзера нужно поломать голову какой ип ему присвоить исходя из его домашнего адресаЕсли почитаете ту тему до конца, то там адрес к пользователю вообще не привязан, т.к. выдаётся он с ISG до аутентификации) НО, я хочу использовать циску на агрегации для терминации вланов со свичей доступа (зачем мне это надо? свободные магистрали и использование супердешевых свичей на доступе, которые умеют вставлять VID от 1 до 8, народный чип риалтек)Делайте как тут:nterface Vlan2 ip address 10.10.10.1 255.255.255.0 ip helper-address 192.168.0.55 ! Switch#sh ip dh sn Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1-2 Insertion of option 82 is enabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) ------------------------ ------- ---------------- Switch# Однако если ip unnumbered не поддерживается - получится не очень красиво... хотя если дхцп снупинг будет вместе с ip source guard то жить можно. Адреса на Vlan интерфейсы придётся нарезать блоками, и создавать соотв. число пулов на дхцп-сервере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 6 мая, 2009 (изменено) · Жалоба Предложенная схема Stak, кроме однотиповых настроек свичей доступа, позволяют использовать супердешевые свичи на базе риалтека, которые могут дот.Й, но могут вставлять VID только от 1 до 8 делаются из обычной мыльницы впаиванием епромки, PHY и трансивера вдм НО имеют недостаток - сложную систематизацию ип-адресов абонентов, если требуется выдавать абонентам статический адрес, что позволяет обойтись без аутентификации. Так у абонента в квартире может быть несколько комп и т.п. выдавать абоненту нужно несколько ип-адресов, скажем 4 или 5 должно хватить системы определения ип-адреса абонента следующие 1. Параноя, выдаем на абонента подсеть /29 со своим gw, итого он имеет 5 адресов (хотя по этой схеме ему можно и всю /24 сеть отдать) и имеет доступ к другим участникам его влана только через gw 10.Х2.Х3.Х4 Х2 = (Y-1) * Vmax + V X3 = (M-M1) * Nmax +N X3 - порядковый номер абонента на данном узле агрегации, порту и влане, где Y - порядковый номер узла агрегации (от 1 до 10) V - порядковый номер vlan (от 1 до 8) Vmax - максимальный номер vlan M - порядковый номер модуля портов агрегации (от 1 до 5) M1 - номер первого модуля (все модули портов доступа должны идти по порядку) N - кол-во портов доступа в модуле (от 1 до 24) Nmax - максимальное кол-во портов агрегации в модуле 2. Легкий, выдаем клиенту ип-адреса с маской /31, т.е. он получает 2 адреса, но с общим gw тогда система упрощается 10.Х2.Х3.Х4 Х2 = Y X3 = V X3 - порядковый номер абонента на данном узле агрегации и влане, это все актуально если мы хотим терминировать вланы на агрегации и оборудование агрегации поддерживает DHCP snooping + option 82 + IP source guard НО не поддерживает IP-unnumbered on SVI (смотрим посты выше с конфигурацией) Изменено 6 мая, 2009 пользователем charliecharlie Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 6 мая, 2009 · Жалоба собственно настройки на агрегации ! ip dhcp snooping vlan 11-18 ip dhcp snooping ! порт который смотрит на свич доступа ! interface FastEthernet2/4 switchport trunk encapsulation dot1q switchport trunk allowed vlan 11-18 switchport mode trunk ip verify source vlan dhcp-snooping port-security ! ! interface Vlan15 ip address 10.15.4.1 255.255.255.0 ip helper-address 192.168.0.55 ! все работает, если прописываю ип вручную, шлюза не вижу получаю по дхцп - все работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 6 мая, 2009 · Жалоба Вы первый, у кого кроме меня по этой схеме получилось собрать стенд))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 6 мая, 2009 · Жалоба Stak если использовать в качестве сервера ICS-Dhcp то тогда можно сказать второй... :) ваша схема работает, и просто коммутаоры 3028 на доме тоже работают... а вот в качестве сервера использовать Cisco так и не получилось... (Версию прошивки кинь Пожалуйста) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 6 мая, 2009 · Жалоба В лабе с динамипсом с дхцп на ИСГ у меня работали эти: c7200-k91p-mz.122-31.SB14.bin c7200-ik91s-mz.122-31.SB14.bin А вот что было на 871й уже не знаю... возможно этот: c870-advipservicesk9-mz.124-11.T1.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 7 мая, 2009 · Жалоба а вот в качестве сервера использовать Cisco так и не получилось...(Версию прошивки кинь Пожалуйста) а смысл использовать циску сервером дхцп??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 7 мая, 2009 · Жалоба а смысл использовать циску сервером дхцп??? Смысл когда на ней при этом есть ИСГ и она работает брасом. Для Л3 коннектед субскрайберов она по другому не умеет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
charliecharlie Опубликовано 7 мая, 2009 · Жалоба Однако если ip unnumbered не поддерживается - получится не очень красиво...он вроде бы поддерживается, по крайней мере команды естьно запустить его не удалось Switch(config)#int loopback 1 Switch(config-if)#ip address 10.10.10.0 255.255.0.0 Switch(config-if)#no ip redirects Switch(config-if)#exit Switch(config)#interface vlan 11 Switch(config-if)#ip unnumbered Loopback 1 Point-to-point (non-multi-access) interfaces only Switch(config-if)# может цисководы подскажут куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 7 мая, 2009 · Жалоба В сторону CAT4500-SUP4/CAT4500-SUP5/CAT4500-SUP2-PLUS... На sup3 не поддерживается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...