Jump to content
Калькуляторы

isc dhcpd и клиенты "перетыкальщики", кто как решает проблему

Хотел вот поинтересоваться по теме:

Есть у меня некая доля клиентов, которые по тем или иным причинам обзаводиться домашними роутерами не хотят, и в то же время или имеют дома несколько ноутбуков, или включают в сеть ноуты своих друзей/знакомых/гостей. Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

В моем случае практикуется два способа лечения: либо заставляем клиентов на всех компах прописывать одинаковый мак, тогда все работает моментально при переключении кабеля, ну или приходится при подобной заявке подчищать lease файл и дергать dhcpd.

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Edited by dsk

Share this post


Link to post
Share on other sites

Очевидно очевидным, а мне хотелось бы конкретики. Что используется, какие глюки, костыли, производительность и т.п.

Многие используют isc, и неужели на эту мелочь конкретно положили, или в этом просто нет необходимости ввиду специфики/политики конторы и т.п.?

Edited by dsk

Share this post


Link to post
Share on other sites

щяс пробую схему дхцп снупинга с max_entry в 2 - 3 мака, соот-но в конфиге дхцп сервака два мака на порт с разными ip

Share this post


Link to post
Share on other sites

2 pppoetest:

А не пробовали вариант ограничить кол-во маков с помощью port-security?

Мне всегда было интересно ограничивать кол-во маков не средствами dhcp & snooping а чем то более простым.

Share this post


Link to post
Share on other sites
А не пробовали вариант ограничить кол-во маков с помощью port-security?
ы?
config port_security ports all max_learning_addr
неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

Share this post


Link to post
Share on other sites
А не пробовали вариант ограничить кол-во маков с помощью port-security?
ы?
config port_security ports all max_learning_addr
неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

Share this post


Link to post
Share on other sites

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

Холиварить можно бесконечно долго, каждый ISP выбирает ту схему которая подходит именно ему. (накидать скрипт берущий маки из биллинга и формирующего конфиг дхцп серва с рестартом оного и засовыванием в крон - дело 10-ти мин)

Edited by pppoetest

Share this post


Link to post
Share on other sites

Присоединяюсь к топикстартеру, ибо у нас такая же проблема. Только у нас время аренды 24 часа, так как на заре ввода dhcp snooping + opt82+ ipmb некоторые абоненты жаловались на то, что во время обновления аренды, обрываются все сетевые соединения. Практика показала, что на нашей сети оптимальное время аренды - сутки.

Конечно же интересно кто как решает проблему "перетыкальщиков", только без холивара плиз...

 

У нас сеть строится по принципу vlan per switch, /27 сетка на свич(свичи все 24-х портовые). Используем isc dhcpd, на каждый порт свича в конфиге есть свой class:

 

class "10.5.14.6:1" { match if concat(binary-to-ascii(10, 8, ".", packet(24, 4)), ":", binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1))) 
                  = "10.5.14.6:1"; }

 

и соотв. свой pool:

 

pool { range 10.100.100.1; allow members of "10.5.14.6:1"; }

 

Таким образом, так как свич 24-х портовый , используется 25 адресов из сети /27(24 абонента + шлюз) и есть пять свободных адресов в каждой сети, которые бы можно было выдавать как раз "перетыкальщикам", но никак не соображу как реализовать такую логику работы dhcpd, чтобы, при отсутствии адресов в "основном" пуле(который привязан к свичу+порту), сервер смотрел бы еще и в так называемый "резервный", который для каждого свича был бы конечно же свой(те самые пять адресов).

Пока , для нашей сети, я вижу решение проблемы "перетыкальщиков" только в подобном виде. Может кто-то подсказать, возможно ли реализовать подобную логику работы и если можно , то как?

Share this post


Link to post
Share on other sites

Давным давно натыкался на вашу проблему:

http://serverfault.com/questions/28421/opt...second-computer

 

Вкратце:

Самый простой вариант - пропатчить dhcpcd там патч максимум на 7 строчек

Второй способ админский через жо^W скрипты: настроить на свитчах трапы, ловить их и удалять айпишник через omshell

 

Share this post


Link to post
Share on other sites
... Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

...

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

 

п.с. Звонков с такими вопросами НЕТ ("нет" - это 2-3 в месяц, особо недоходчивые)

Share this post


Link to post
Share on other sites
А патчем то не поделитесь?
+1

 

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

Мои тоже все знают, только до многих не доходит. Могут позвонить в пятницу ночью после бурного застолья с друзьями, со всеми вытекающими.

Колхоз, хренли...

 

Share this post


Link to post
Share on other sites

Самый простой, но не самый очевидный, еще никто не пропатчил насколько я помню

Share this post


Link to post
Share on other sites

К сожелению патч остался на пред. Пред. Пред. Идущей работе

Share this post


Link to post
Share on other sites

Сделайте плиз еще раз, ну очень надо всем, тем более всего 7 строк

Share this post


Link to post
Share on other sites

Лучше скажите, как он работает, а то может проблем от того патча больше, чем он решает...

Share this post


Link to post
Share on other sites
используется опция 82, привязка ip к порту.

Да чтож вы все такие извращенцы?

DHCP в основном и сделан для экономии адресов, а не прописывании каждому клиенту адреса жестко.

Даем свободно реальный ip из /24 пула на вилан. Несколько виланов на район.

Разбиваем так, что в часы пик свободных лизов ~10.

 

А вот уже при попытки выйти в инет спрашиваем у DHCP какая 82 опция была у клиента с данным ip

(isg initiator unclassified ip-address) - по ней и маку прозрачный автологин. Если попался неизвестный клиент (монтажники заменили свитч, кто то перепутал порты) - клиента на веб форму авторизации.

 

В данный момент схема работает на 3000 студентов. Они и перетыкаются как угодно, могут спокойно поставить в комнате неуправляемый свитч и воткнуть 2 компа. Оба будут свободно работать под своими аккаунтами.

Share this post


Link to post
Share on other sites

Т.е. из предыдущих постов следует что никак проблема не решается.

Или ждать или авторизация, плюсом к DHCP.

А не логичнее ли сделать просто авторизацию, eg PPPoE и пусть тыкают куда хотят, что линейщики, что клиенты.

Кстати, привязку по MAC, тем кто жить без этого не может, получаешь автоматически и на любое количество MAC-ов.

 

Share this post


Link to post
Share on other sites
сделать просто авторизацию, eg PPPoE
Ну и зачем вы опять вспомнили, про этот бред из прошлого века?

Зачем лишняя прослойка, требующая немалых денег для реализации и снижающая функциональность до 0.

Начиная от проблем с IPTV и локальной сетью/пирингом, которые придется пускать по туннелю;

заканчивая нетривиальностью настройки. А при DHCP комп из кородки просто втыкается в сеть)

Share this post


Link to post
Share on other sites

Комп "из коробки" не содержит никакой операционной систеиы.

Вот самосбор "из коробков" - да, содержит, в.т.ч. и мастер подключения к интернету, про кот. рассказывают на каждом углу.

Т.ч. данная передовая технология предоставляет гибкие средства для оператора и создаёт "ощущение причастности" у клиента.

А то что кто-то не в состоянии решить проблемы с рядом сервисов, так это не проблема технологии.

Edited by Deac

Share this post


Link to post
Share on other sites

Дегтярев Илья

А рассажите подробно как у вас все реализовано.

Вижу кучу граблей, в разы больше чем при использовании PPPOE

Share this post


Link to post
Share on other sites

У него там isg используется цисковый, а в этом случае проблема как бы не актуальна, можно и динамику выдавать.

Мне вот лично жалко своих кровных чтоб внедрить isg на 100 мбит внешнего трафика, да и из этого вытекает перезатачивание биллинга и все в этом духе. Так что не вариант, писюки с FreeBSD в моем случае неплохо справляются со своей задачей, тратить деньги на NPE-G1(G2) особо желания нет, ну если только попадется за мегадешман :)

 

На тему экономии - мне нечего экономить, я раздаю по умолчанию серые адреса. Белые по запросу от тех, кому оно надо.

Edited by dsk

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now