Перейти к содержимому
Калькуляторы

Реальное применение Option-82 поделитесь опытом - что-то не получается

Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ISC-DHCP

subnet 10.0.0.0 netmask 255.255.255.0 {
  default-lease-time 120;
  max-lease-time 120;
  ping-check false;
  option routers 10.0.0.1;
  option domain-name-servers 10.0.1.1;


class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; }
pool { range 10.0.0.2; allow members of "VLAN2000"; }
class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; }
pool { range 10.0.0.3; allow members of "VLAN2000"; }
...
}

Catalyst 3550

ip dhcp snooping vlan 2000-2099
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

vlan 1,2000-2099

interface Loopback10
ip address 10.0.0.1 255.255.255.0

interface FastEthernet0/1
ip dhcp snooping trust

interface FastEthernet0/24
description clients
switchport trunk encapsulation dot1q
switchport mode trunk

interface Vlan1
ip address 10.1.1.2 255.255.255.0

interface Vlan2000
ip unnumbered Loopback10
ip helper-address 10.1.1.1

interface Vlan2001
ip unnumbered Loopback10
ip helper-address 10.1.1.1

 

Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе.

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

завтра буду тестировать.

Я так понимаю наличия Опции 82 на aсcess не требуется, только в кошке 3550 ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните

 

Краткая предыстория:

Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе...

 

Всякие мне по поводу применения данной фичи, мне весьма интересны!

http://xgu.ru/wiki/Опция_82_DHCP

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При использовании опции 82 нет необходимости использовать привязку mac-ip в сервере dhcp

ip выдается не на основе mac адреса, который клиент может запросто сменить, а на основе того, в какой он порт включен или в каком влане он живет

Изменено пользователем 911

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети?

Хорошо работает, проблем нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Строю сейчас магистраль пока, оборудование особо не выбрал. Есть возможность купить и циску 6509, но главная задача быстро отбить бабло при старте. В тоже время эксплуатационные хочется как-то умерить.

Подумывал сначала про самое доступное решение авторизации PPPoE, но мне кажется если я буду строить полностью управляемую сеть, то зачем городить туннели? может не прав!

Поэтому решил поставить на агрегацию циску 3550 ну или Д-линк 3612 и на доступ любой коммутатор с поддержкой 802.1q. Применение опции 82 мне понравилось тем, что клиенту не нужно ничего объяснять, и он просто включает компьютер и начинает работать.

 

К тому же я бы хотел не смешивать локальный трафик с внешним и предполагаю что я смогу задать маршрут выдавая IP c DHCP, по Option-82 так ли это ?

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

BudushiyISP

Глупости говорите.

opt 82 + ip source guard дает то что на уровях выше acсess то ip адрес клиента уже однозначно идентифицирует клиента.

Маршруты выдавать клиенту не надо, он знает только шлюз, а там уж как решите ВЫ.

 

ЗЫ

хех, моя статьейка засветилсь на

http://xgu.ru/wiki/Опция_82_DHCP

в ссылках. )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще суть понял, проверю на практике...Статья действительно очень познавательная. Помогла реально. Про маршруты спросил не подумав, что никакого туннеля как в случае терминирования PPPoE нет, так что я запросто могу оставить локальный трафик в пределах районного узла, а внешний направить через бордер вперед :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Продам ПО - сервер DHCP с поддержкой DHCP option 82 под Windows, с доработкой под вашу БД.

 

Дорого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Всё давно разжёвано и протестировано...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками).

Если там прописать ip verify source, то для управления всеми нижестоящими свичами (даже в отдельном упр влане) их ВСЕ нужно будет прописывать ip source bind (както так :) ) в Циске ...

 

По теме: сами сейчас организовываем подобную схему (влан-на-юзера) с помощью опт 82 .. в перспективе и на стенде выглядит просто отлично ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Всё давно разжёвано и протестировано...

Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?
Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странный набор букв...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?

Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?
Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика.

А что еще может кроме ISG может быть столько эффективным в качестве сервера DHCP работающего с Option-82, можно ли применить ISC-DHCP ?

 

Замечу предложенная skor78 в посте #2 конфигурация работает

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так конфиг же от ISC-DHCP выложен. Рабочий.

Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.
Это минус) Но не страшный)

На ИСГ например вообще выдачу КОНКРЕТНОГО адреса абоненту в такой схеме не реализовать. Но правда там это и не обязательно, т.к. сессии к динамическим адресам привязываются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

bgbiling имеет в своем составе dhcp сервер с опт82

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я упустил суть темы?

opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ.

сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен.

 

Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес.

Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг.

 

Удобно в схеме vlan-per-customer.

Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно.

 

На этом форуме тоже масса примеров.

 

 

PS

Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно.

1) Хорошо, а представьте себе, что у человека дома 3 компьютера тогда на порт получается нужно 3 адреса, хоста. Как это решается ? Я лично думаю, что если поставить дома тупой свитч и на компьютере который подключён к Интернет просто включить DHCP, то можно раздать Интернет в пределах квартиры. Хотя может это не верный подход...Откоректируйте

2) Сторонний пользователь врезался в кабель, что будет?

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, три компутера решаются просто — шлюзом, а вот что делать с параноиками, которые просят «проверить линию» потому что они «интернетом не пользовались».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю вот поэтому всё таки логин и пароль нужен. Но как правильно их здесь применить? PPPoE дополнительно? Авторизация через веб интерфейс при первичном подключении?

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.