Jump to content
Калькуляторы

Реальное применение Option-82 поделитесь опытом - что-то не получается

Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

 

Share this post


Link to post
Share on other sites
ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

завтра буду тестировать.

Я так понимаю наличия Опции 82 на aсcess не требуется, только в кошке 3550 ?

 

Share this post


Link to post
Share on other sites
Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

http://xgu.ru/wiki/Опция_82_DHCP

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

 

Share this post


Link to post
Share on other sites

При использовании опции 82 нет необходимости использовать привязку mac-ip в сервере dhcp

ip выдается не на основе mac адреса, который клиент может запросто сменить, а на основе того, в какой он порт включен или в каком влане он живет

Edited by 911

Share this post


Link to post
Share on other sites

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

Хорошо работает, проблем нет

Share this post


Link to post
Share on other sites

Строю сейчас магистраль пока, оборудование особо не выбрал. Есть возможность купить и циску 6509, но главная задача быстро отбить бабло при старте. В тоже время эксплуатационные хочется как-то умерить.

Подумывал сначала про самое доступное решение авторизации PPPoE, но мне кажется если я буду строить полностью управляемую сеть, то зачем городить туннели? может не прав!

Поэтому решил поставить на агрегацию циску 3550 ну или Д-линк 3612 и на доступ любой коммутатор с поддержкой 802.1q. Применение опции 82 мне понравилось тем, что клиенту не нужно ничего объяснять, и он просто включает компьютер и начинает работать.

 

К тому же я бы хотел не смешивать локальный трафик с внешним и предполагаю что я смогу задать маршрут выдавая IP c DHCP, по Option-82 так ли это ?

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

BudushiyISP

Глупости говорите.

opt 82 + ip source guard дает то что на уровях выше acсess то ip адрес клиента уже однозначно идентифицирует клиента.

Маршруты выдавать клиенту не надо, он знает только шлюз, а там уж как решите ВЫ.

 

ЗЫ

хех, моя статьейка засветилсь на

http://xgu.ru/wiki/Опция_82_DHCP

в ссылках. )))

Share this post


Link to post
Share on other sites

Вообще суть понял, проверю на практике...Статья действительно очень познавательная. Помогла реально. Про маршруты спросил не подумав, что никакого туннеля как в случае терминирования PPPoE нет, так что я запросто могу оставить локальный трафик в пределах районного узла, а внешний направить через бордер вперед :)

 

Share this post


Link to post
Share on other sites

Продам ПО - сервер DHCP с поддержкой DHCP option 82 под Windows, с доработкой под вашу БД.

 

Дорого.

Share this post


Link to post
Share on other sites
Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

Если там прописать ip verify source, то для управления всеми нижестоящими свичами (даже в отдельном упр влане) их ВСЕ нужно будет прописывать ip source bind (както так :) ) в Циске ...

 

По теме: сами сейчас организовываем подобную схему (влан-на-юзера) с помощью опт 82 .. в перспективе и на стенде выглядит просто отлично ...

Share this post


Link to post
Share on other sites
http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Всё давно разжёвано и протестировано...

Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?
Edited by BudushiyISP

Share this post


Link to post
Share on other sites
Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?

Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

Share this post


Link to post
Share on other sites
Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?
Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

А что еще может кроме ISG может быть столько эффективным в качестве сервера DHCP работающего с Option-82, можно ли применить ISC-DHCP ?

 

Замечу предложенная skor78 в посте #2 конфигурация работает

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

Так конфиг же от ISC-DHCP выложен. Рабочий.

Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.

Share this post


Link to post
Share on other sites
Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.
Это минус) Но не страшный)

На ИСГ например вообще выдачу КОНКРЕТНОГО адреса абоненту в такой схеме не реализовать. Но правда там это и не обязательно, т.к. сессии к динамическим адресам привязываются.

Share this post


Link to post
Share on other sites

Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

 

Share this post


Link to post
Share on other sites

bgbiling имеет в своем составе dhcp сервер с опт82

Share this post


Link to post
Share on other sites
Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

1) Хорошо, а представьте себе, что у человека дома 3 компьютера тогда на порт получается нужно 3 адреса, хоста. Как это решается ? Я лично думаю, что если поставить дома тупой свитч и на компьютере который подключён к Интернет просто включить DHCP, то можно раздать Интернет в пределах квартиры. Хотя может это не верный подход...Откоректируйте

2) Сторонний пользователь врезался в кабель, что будет?

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

Ну, три компутера решаются просто — шлюзом, а вот что делать с параноиками, которые просят «проверить линию» потому что они «интернетом не пользовались».

Share this post


Link to post
Share on other sites

Я думаю вот поэтому всё таки логин и пароль нужен. Но как правильно их здесь применить? PPPoE дополнительно? Авторизация через веб интерфейс при первичном подключении?

Edited by BudushiyISP

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this