BudushiyISP Опубликовано 20 июня, 2009 (изменено) · Жалоба Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните Краткая предыстория: Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе... Всякие мне по поводу применения данной фичи, мне весьма интересны! Изменено 20 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skor78 Опубликовано 20 июня, 2009 · Жалоба ISC-DHCP subnet 10.0.0.0 netmask 255.255.255.0 { default-lease-time 120; max-lease-time 120; ping-check false; option routers 10.0.0.1; option domain-name-servers 10.0.1.1; class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; } pool { range 10.0.0.2; allow members of "VLAN2000"; } class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; } pool { range 10.0.0.3; allow members of "VLAN2000"; } ... } Catalyst 3550 ip dhcp snooping vlan 2000-2099 ip dhcp snooping information option format remote-id hostname ip dhcp snooping vlan 1,2000-2099 interface Loopback10 ip address 10.0.0.1 255.255.255.0 interface FastEthernet0/1 ip dhcp snooping trust interface FastEthernet0/24 description clients switchport trunk encapsulation dot1q switchport mode trunk interface Vlan1 ip address 10.1.1.2 255.255.255.0 interface Vlan2000 ip unnumbered Loopback10 ip helper-address 10.1.1.1 interface Vlan2001 ip unnumbered Loopback10 ip helper-address 10.1.1.1 Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе. Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 21 июня, 2009 · Жалоба ISC-DHCP subnet 10.0.0.0 netmask 255.255.255.0 { default-lease-time 120; max-lease-time 120; ping-check false; option routers 10.0.0.1; option domain-name-servers 10.0.1.1; class "VLAN2000" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2000"; } pool { range 10.0.0.2; allow members of "VLAN2000"; } class "VLAN2001" { match if binary-to-ascii (10,16,"",substring(option agent.circuit-id, 2, 2))="2001"; } pool { range 10.0.0.3; allow members of "VLAN2000"; } ... } Catalyst 3550 ip dhcp snooping vlan 2000-2099 ip dhcp snooping information option format remote-id hostname ip dhcp snooping vlan 1,2000-2099 interface Loopback10 ip address 10.0.0.1 255.255.255.0 interface FastEthernet0/1 ip dhcp snooping trust interface FastEthernet0/24 description clients switchport trunk encapsulation dot1q switchport mode trunk interface Vlan1 ip address 10.1.1.2 255.255.255.0 interface Vlan2000 ip unnumbered Loopback10 ip helper-address 10.1.1.1 interface Vlan2001 ip unnumbered Loopback10 ip helper-address 10.1.1.1 Клиенту выдается IP-адрес в зависимости от того к какому порту(влану) он подключен на доступе. Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками). завтра буду тестировать.Я так понимаю наличия Опции 82 на aсcess не требуется, только в кошке 3550 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 21 июня, 2009 (изменено) · Жалоба Option -82 как я понял такая фича, которая помогает узнать кто откуда пришёл..? но для чего реально нужна не понял может объясните Краткая предыстория: Ну вот я собрал стенд на доступ взял коммутатор с поддержкой 802.1q далее, на агрегацию 3550. Прописал VLAN-ы на доступе вручную и погнал их в 3550, далее билинг Abills кстати на основе маков выдавал IP с использованием DHCP сервака. Недостаток нужно знать мак клиента, чтобы выдать IP. Могла бы мне помочь Опция -82 в этом вопросе... Всякие мне по поводу применения данной фичи, мне весьма интересны! http://xgu.ru/wiki/Опция_82_DHCP Изменено 21 июня, 2009 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 21 июня, 2009 · Жалоба Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 21 июня, 2009 · Жалоба Хорошо работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 21 июня, 2009 (изменено) · Жалоба При использовании опции 82 нет необходимости использовать привязку mac-ip в сервере dhcp ip выдается не на основе mac адреса, который клиент может запросто сменить, а на основе того, в какой он порт включен или в каком влане он живет Изменено 21 июня, 2009 пользователем 911 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 21 июня, 2009 · Жалоба Вообще в большей степени интересует практика применения и насколько это хорошо работает в реальной сети? Хорошо работает, проблем нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 21 июня, 2009 (изменено) · Жалоба Строю сейчас магистраль пока, оборудование особо не выбрал. Есть возможность купить и циску 6509, но главная задача быстро отбить бабло при старте. В тоже время эксплуатационные хочется как-то умерить. Подумывал сначала про самое доступное решение авторизации PPPoE, но мне кажется если я буду строить полностью управляемую сеть, то зачем городить туннели? может не прав! Поэтому решил поставить на агрегацию циску 3550 ну или Д-линк 3612 и на доступ любой коммутатор с поддержкой 802.1q. Применение опции 82 мне понравилось тем, что клиенту не нужно ничего объяснять, и он просто включает компьютер и начинает работать. К тому же я бы хотел не смешивать локальный трафик с внешним и предполагаю что я смогу задать маршрут выдавая IP c DHCP, по Option-82 так ли это ? Изменено 21 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 21 июня, 2009 · Жалоба BudushiyISP Глупости говорите. opt 82 + ip source guard дает то что на уровях выше acсess то ip адрес клиента уже однозначно идентифицирует клиента. Маршруты выдавать клиенту не надо, он знает только шлюз, а там уж как решите ВЫ. ЗЫ хех, моя статьейка засветилсь на http://xgu.ru/wiki/Опция_82_DHCP в ссылках. ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 21 июня, 2009 · Жалоба Вообще суть понял, проверю на практике...Статья действительно очень познавательная. Помогла реально. Про маршруты спросил не подумав, что никакого туннеля как в случае терминирования PPPoE нет, так что я запросто могу оставить локальный трафик в пределах районного узла, а внешний направить через бордер вперед :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saper Опубликовано 21 июня, 2009 · Жалоба Продам ПО - сервер DHCP с поддержкой DHCP option 82 под Windows, с доработкой под вашу БД. Дорого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 21 июня, 2009 · Жалоба http://ciscovod.blogspot.com/2009/02/cisco-isg.html Всё давно разжёвано и протестировано... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 21 июня, 2009 · Жалоба Если в FastEthernet 0/24 еще прописать ip verify source то через этот порт смогут ходить только те пакеты, адреса которых были получены клиентами через DHCP (либо прописана привязка адреса к порту руками). Если там прописать ip verify source, то для управления всеми нижестоящими свичами (даже в отдельном упр влане) их ВСЕ нужно будет прописывать ip source bind (както так :) ) в Циске ... По теме: сами сейчас организовываем подобную схему (влан-на-юзера) с помощью опт 82 .. в перспективе и на стенде выглядит просто отлично ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 21 июня, 2009 (изменено) · Жалоба http://ciscovod.blogspot.com/2009/02/cisco-isg.htmlВсё давно разжёвано и протестировано... Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись? Изменено 21 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 21 июня, 2009 · Жалоба Странный набор букв... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 22 июня, 2009 · Жалоба Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись? Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 22 июня, 2009 (изменено) · Жалоба Да там, всё понятно. , у меня нет в наличии брасов от циски. Можно только без ISG обойтись?Можно. ИСГ там в качестве дхцп-сервера и точки примемения политик для внешнего трафика. А что еще может кроме ISG может быть столько эффективным в качестве сервера DHCP работающего с Option-82, можно ли применить ISC-DHCP ? Замечу предложенная skor78 в посте #2 конфигурация работает Изменено 22 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skor78 Опубликовано 22 июня, 2009 · Жалоба Так конфиг же от ISC-DHCP выложен. Рабочий. Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 22 июня, 2009 · Жалоба Просто что сам конфиг получается не очень красивый. Длинная "колбаса" из класов и пулов.... Конфигурация статическая и после изменения конфига надо передергивать сервер.Это минус) Но не страшный) На ИСГ например вообще выдачу КОНКРЕТНОГО адреса абоненту в такой схеме не реализовать. Но правда там это и не обязательно, т.к. сессии к динамическим адресам привязываются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 22 июня, 2009 · Жалоба Я упустил суть темы? opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ. сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен. Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес. Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг. Удобно в схеме vlan-per-customer. Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно. На этом форуме тоже масса примеров. PS Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 23 июня, 2009 · Жалоба bgbiling имеет в своем составе dhcp сервер с опт82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 23 июня, 2009 (изменено) · Жалоба Я упустил суть темы?opt 82 нужен для того что б знать откуда пришел запрос. и ВСЕ. сам по себе (без ip source guard / DHCP Snooping / Adress binding или как там вендор назовет ) безполезен. Совместно с другими фичами - позволяет точно знать какой ИП у абонента, и быть уверенным в том что абонент не сменит себе адрес. Я отключаю абонентов выдавая им адреса из пула для котроых разрешен выход только на биллинг. Удобно в схеме vlan-per-customer. Если нужны куски конфигов выложу, но на http://xgu.ru/wiki/Опция_82_DHCP разжовано довольно подробно. На этом форуме тоже масса примеров. PS Передергивание DHCP побороть не просто а очень просто - достаточно прописать 2 сервера (естественно, если есть пулы а не жесткие привязки то городить костыли) и дергать их не одновременно. 1) Хорошо, а представьте себе, что у человека дома 3 компьютера тогда на порт получается нужно 3 адреса, хоста. Как это решается ? Я лично думаю, что если поставить дома тупой свитч и на компьютере который подключён к Интернет просто включить DHCP, то можно раздать Интернет в пределах квартиры. Хотя может это не верный подход...Откоректируйте2) Сторонний пользователь врезался в кабель, что будет? Изменено 23 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevzorofff Опубликовано 23 июня, 2009 · Жалоба Ну, три компутера решаются просто — шлюзом, а вот что делать с параноиками, которые просят «проверить линию» потому что они «интернетом не пользовались». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 23 июня, 2009 (изменено) · Жалоба Я думаю вот поэтому всё таки логин и пароль нужен. Но как правильно их здесь применить? PPPoE дополнительно? Авторизация через веб интерфейс при первичном подключении? Изменено 23 июня, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...