[dsk]

Хотел вот поинтересоваться по теме:

Есть у меня некая доля клиентов, которые по тем или иным причинам обзаводиться домашними роутерами не хотят, и в то же время или имеют дома несколько ноутбуков, или включают в сеть ноуты своих друзей/знакомых/гостей. Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

В моем случае практикуется два способа лечения: либо заставляем клиентов на всех компах прописывать одинаковый мак, тогда все работает моментально при переключении кабеля, ну или приходится при подобной заявке подчищать lease файл и дергать dhcpd.

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Edited October 14, 2010 by dsk

[Abram]

Очевидно: не использовать isc dhcpd ;-).

[dsk]

Очевидно очевидным, а мне хотелось бы конкретики. Что используется, какие глюки, костыли, производительность и т.п.

Многие используют isc, и неужели на эту мелочь конкретно положили, или в этом просто нет необходимости ввиду специфики/политики конторы и т.п.?

Edited October 15, 2010 by dsk

[pppoetest]

щяс пробую схему дхцп снупинга с max_entry в 2 - 3 мака, соот-но в конфиге дхцп сервака два мака на порт с разными ip

[mikevlz]

научить клиентов перед вытыканием делать Ipconfig /release

[BuHast]

2 pppoetest:

А не пробовали вариант ограничить кол-во маков с помощью port-security?

Мне всегда было интересно ограничивать кол-во маков не средствами dhcp & snooping а чем то более простым.

[Negator]

выдавайте более одного IP на порт

 

[pppoetest]

А не пробовали вариант ограничить кол-во маков с помощью port-security?

ы?

config port_security ports all max_learning_addr

неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

[Gunner]

А не пробовали вариант ограничить кол-во маков с помощью port-security?

ы?

config port_security ports all max_learning_addr

неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

[pppoetest]

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

Холиварить можно бесконечно долго, каждый ISP выбирает ту схему которая подходит именно ему. (накидать скрипт берущий маки из биллинга и формирующего конфиг дхцп серва с рестартом оного и засовыванием в крон - дело 10-ти мин)

Edited October 15, 2010 by pppoetest

[StSphinx]

Присоединяюсь к топикстартеру, ибо у нас такая же проблема. Только у нас время аренды 24 часа, так как на заре ввода dhcp snooping + opt82+ ipmb некоторые абоненты жаловались на то, что во время обновления аренды, обрываются все сетевые соединения. Практика показала, что на нашей сети оптимальное время аренды - сутки.

Конечно же интересно кто как решает проблему "перетыкальщиков", только без холивара плиз...

 

У нас сеть строится по принципу vlan per switch, /27 сетка на свич(свичи все 24-х портовые). Используем isc dhcpd, на каждый порт свича в конфиге есть свой class:

 

class "10.5.14.6:1" { match if concat(binary-to-ascii(10, 8, ".", packet(24, 4)), ":", binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1))) 
                  = "10.5.14.6:1"; }

 

и соотв. свой pool:

 

pool { range 10.100.100.1; allow members of "10.5.14.6:1"; }

 

Таким образом, так как свич 24-х портовый , используется 25 адресов из сети /27(24 абонента + шлюз) и есть пять свободных адресов в каждой сети, которые бы можно было выдавать как раз "перетыкальщикам", но никак не соображу как реализовать такую логику работы dhcpd, чтобы, при отсутствии адресов в "основном" пуле(который привязан к свичу+порту), сервер смотрел бы еще и в так называемый "резервный", который для каждого свича был бы конечно же свой(те самые пять адресов).

Пока , для нашей сети, я вижу решение проблемы "перетыкальщиков" только в подобном виде. Может кто-то подсказать, возможно ли реализовать подобную логику работы и если можно , то как?

[SaveTheRbtz]

Давным давно натыкался на вашу проблему:

http://serverfault.com/questions/28421/opt...second-computer

 

Вкратце:

Самый простой вариант - пропатчить dhcpcd там патч максимум на 7 строчек

Второй способ админский через жо^W скрипты: настроить на свитчах трапы, ловить их и удалять айпишник через omshell

 

[Negator]

А патчем то не поделитесь?

[Elisium]

... Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

...

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

 

п.с. Звонков с такими вопросами НЕТ ("нет" - это 2-3 в месяц, особо недоходчивые)

[dsk]

А патчем то не поделитесь?

+1

 

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

Мои тоже все знают, только до многих не доходит. Могут позвонить в пятницу ночью после бурного застолья с друзьями, со всеми вытекающими.

Колхоз, хренли...

 

[stelsik]

Самый простой, но не самый очевидный, еще никто не пропатчил насколько я помню

[SaveTheRbtz]

К сожелению патч остался на пред. Пред. Пред. Идущей работе

[stelsik]

Сделайте плиз еще раз, ну очень надо всем, тем более всего 7 строк

[UglyAdmin]

Лучше скажите, как он работает, а то может проблем от того патча больше, чем он решает...

[Дегтярев Илья]

используется опция 82, привязка ip к порту.

Да чтож вы все такие извращенцы?

DHCP в основном и сделан для экономии адресов, а не прописывании каждому клиенту адреса жестко.

Даем свободно реальный ip из /24 пула на вилан. Несколько виланов на район.

Разбиваем так, что в часы пик свободных лизов ~10.

 

А вот уже при попытки выйти в инет спрашиваем у DHCP какая 82 опция была у клиента с данным ip

(isg initiator unclassified ip-address) - по ней и маку прозрачный автологин. Если попался неизвестный клиент (монтажники заменили свитч, кто то перепутал порты) - клиента на веб форму авторизации.

 

В данный момент схема работает на 3000 студентов. Они и перетыкаются как угодно, могут спокойно поставить в комнате неуправляемый свитч и воткнуть 2 компа. Оба будут свободно работать под своими аккаунтами.

[Deac]

Т.е. из предыдущих постов следует что никак проблема не решается.

Или ждать или авторизация, плюсом к DHCP.

А не логичнее ли сделать просто авторизацию, eg PPPoE и пусть тыкают куда хотят, что линейщики, что клиенты.

Кстати, привязку по MAC, тем кто жить без этого не может, получаешь автоматически и на любое количество MAC-ов.

 

[Дегтярев Илья]

сделать просто авторизацию, eg PPPoE

Ну и зачем вы опять вспомнили, про этот бред из прошлого века?

Зачем лишняя прослойка, требующая немалых денег для реализации и снижающая функциональность до 0.

Начиная от проблем с IPTV и локальной сетью/пирингом, которые придется пускать по туннелю;

заканчивая нетривиальностью настройки. А при DHCP комп из кородки просто втыкается в сеть)

[Deac]

Комп "из коробки" не содержит никакой операционной систеиы.

Вот самосбор "из коробков" - да, содержит, в.т.ч. и мастер подключения к интернету, про кот. рассказывают на каждом углу.

Т.ч. данная передовая технология предоставляет гибкие средства для оператора и создаёт "ощущение причастности" у клиента.

А то что кто-то не в состоянии решить проблемы с рядом сервисов, так это не проблема технологии.

Edited October 16, 2010 by Deac

[Negator]

Дегтярев Илья

А рассажите подробно как у вас все реализовано.

Вижу кучу граблей, в разы больше чем при использовании PPPOE

[dsk]

У него там isg используется цисковый, а в этом случае проблема как бы не актуальна, можно и динамику выдавать.

Мне вот лично жалко своих кровных чтоб внедрить isg на 100 мбит внешнего трафика, да и из этого вытекает перезатачивание биллинга и все в этом духе. Так что не вариант, писюки с FreeBSD в моем случае неплохо справляются со своей задачей, тратить деньги на NPE-G1(G2) особо желания нет, ну если только попадется за мегадешман :)

 

На тему экономии - мне нечего экономить, я раздаю по умолчанию серые адреса. Белые по запросу от тех, кому оно надо.

Edited October 16, 2010 by dsk