Jump to content

Реальное применение Option-82

BudushiyISP
 Share

Recommended Posts

BudushiyISP

BudushiyISP

Posted
Posted (edited)

Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

Edited by BudushiyISP
  • Replies 146
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

skor78

skor78

Posted
Posted

ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

 

BudushiyISP

BudushiyISP

Posted
  • Author
Posted
ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

завтра буду тестировать.

Я так понимаю наличия Опции 82 на aсcess не требуется, только в кошке 3550 ?

 

Konstantin Klimchev

Konstantin Klimchev

Posted
Posted (edited)
Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

http://xgu.ru/wiki/Опция_82_DHCP

Edited by Konstantin Klimchev
BudushiyISP

BudushiyISP

Posted
  • Author
Posted

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

 

911

911

Posted
Posted (edited)

При использовании опции 82 нет необходимости использовать привязку mac-ip в сервере dhcp

ip выдается не на основе mac адреса, который клиент может запросто сменить, а на основе того, в какой он порт включен или в каком влане он живет

Edited by 911
sirmax

sirmax

Posted
Posted

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

Хорошо работает, проблем нет

BudushiyISP

BudushiyISP

Posted
  • Author
Posted (edited)

Строю сейчас магистраль пока, оборудование особо не выбрал. Есть возможность купить и циску 6509, но главная задача быстро отбить бабло при старте. В тоже время эксплуатационные хочется как-то умерить.

Подумывал сначала про самое доступное решение авторизации PPPoE, но мне кажется если я буду строить полностью управляемую сеть, то зачем городить туннели? может не прав!

Поэтому решил поставить на агрегацию циску 3550 ну или Д-линк 3612 и на доступ любой коммутатор с поддержкой 802.1q. Применение опции 82 мне понравилось тем, что клиенту не нужно ничего объяснять, и он просто включает компьютер и начинает работать.

 

К тому же я бы хотел не смешивать локальный трафик с внешним и предполагаю что я смогу задать маршрут выдавая IP c DHCP, по Option-82 так ли это ?

Edited by BudushiyISP
sirmax

sirmax

Posted
Posted

BudushiyISP

Глупости говорите.

opt 82 + ip source guard дает то что на уровях выше acсess то ip адрес клиента уже однозначно идентифицирует клиента.

Маршруты выдавать клиенту не надо, он знает только шлюз, а там уж как решите ВЫ.

 

ЗЫ

хех, моя статьейка засветилсь на

http://xgu.ru/wiki/Опция_82_DHCP

в ссылках. )))

BudushiyISP

BudushiyISP

Posted
  • Author
Posted

Вообще суть понял, проверю на практике...Статья действительно очень познавательная. Помогла реально. Про маршруты спросил не подумав, что никакого туннеля как в случае терминирования PPPoE нет, так что я запросто могу оставить локальный трафик в пределах районного узла, а внешний направить через бордер вперед :)

 

Elisium

Elisium

Posted
Posted
Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

Если там прописать ip verify source, то для управления всеми нижестоящими свичами (даже в отдельном упр влане) их ВСЕ нужно будет прописывать ip source bind (както так :) ) в Циске ...

 

По теме: сами сейчас организовываем подобную схему (влан-на-юзера) с помощью опт 82 .. в перспективе и на стенде выглядит просто отлично ...

BudushiyISP

BudushiyISP

Posted
  • Author
Posted (edited)
http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Всё давно разжёвано и протестировано...

Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись? Edited by BudushiyISP
Stak

Stak

Posted
Posted
Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?

Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

BudushiyISP

BudushiyISP

Posted
  • Author
Posted (edited)
Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?
Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

А что еще может кроме ISG может быть столько эффективным в качестве сервера DHCP работающего с Option-82, можно ли применить ISC-DHCP ?

 

Замечу предложенная skor78 в посте #2 конфигурация работает

Edited by BudushiyISP
skor78

skor78

Posted
Posted

Так конфиг же от ISC-DHCP выложен. Рабочий.

Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.

Stak

Stak

Posted
Posted
Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.
Это минус) Но не страшный)

На ИСГ например вообще выдачу КОНКРЕТНОГО адреса абоненту в такой схеме не реализовать. Но правда там это и не обязательно, т.к. сессии к динамическим адресам привязываются.

sirmax

sirmax

Posted
Posted

Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

 

BudushiyISP

BudushiyISP

Posted
  • Author
Posted (edited)
Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

1) Хорошо, а представьте себе, что у человека дома 3 компьютера тогда на порт получается нужно 3 адреса, хоста. Как это решается ? Я лично думаю, что если поставить дома тупой свитч и на компьютере который подключён к Интернет просто включить DHCP, то можно раздать Интернет в пределах квартиры. Хотя может это не верный подход...Откоректируйте

2) Сторонний пользователь врезался в кабель, что будет?

Edited by BudushiyISP
nevzorofff

nevzorofff

Posted
Posted

Ну, три компутера решаются просто — шлюзом, а вот что делать с параноиками, которые просят «проверить линию» потому что они «интернетом не пользовались».

BudushiyISP

BudushiyISP

Posted
  • Author
Posted (edited)

Я думаю вот поэтому всё таки логин и пароль нужен. Но как правильно их здесь применить? PPPoE дополнительно? Авторизация через веб интерфейс при первичном подключении?

Edited by BudushiyISP

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.