Перейти к содержимому
Калькуляторы

isc dhcpd и клиенты "перетыкальщики", кто как решает проблему

Хотел вот поинтересоваться по теме:

Есть у меня некая доля клиентов, которые по тем или иным причинам обзаводиться домашними роутерами не хотят, и в то же время или имеют дома несколько ноутбуков, или включают в сеть ноуты своих друзей/знакомых/гостей. Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

В моем случае практикуется два способа лечения: либо заставляем клиентов на всех компах прописывать одинаковый мак, тогда все работает моментально при переключении кабеля, ну или приходится при подобной заявке подчищать lease файл и дергать dhcpd.

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Изменено пользователем dsk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очевидно очевидным, а мне хотелось бы конкретики. Что используется, какие глюки, костыли, производительность и т.п.

Многие используют isc, и неужели на эту мелочь конкретно положили, или в этом просто нет необходимости ввиду специфики/политики конторы и т.п.?

Изменено пользователем dsk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

щяс пробую схему дхцп снупинга с max_entry в 2 - 3 мака, соот-но в конфиге дхцп сервака два мака на порт с разными ip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

научить клиентов перед вытыканием делать Ipconfig /release

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 pppoetest:

А не пробовали вариант ограничить кол-во маков с помощью port-security?

Мне всегда было интересно ограничивать кол-во маков не средствами dhcp & snooping а чем то более простым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

выдавайте более одного IP на порт

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не пробовали вариант ограничить кол-во маков с помощью port-security?
ы?
config port_security ports all max_learning_addr
неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не пробовали вариант ограничить кол-во маков с помощью port-security?
ы?
config port_security ports all max_learning_addr
неа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +

соnf filter dhcp_server ports 1-24 state enable

и у мну еще остаётся 250 пустых ацл-ей, разве не красота?

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?.

Холиварить можно бесконечно долго, каждый ISP выбирает ту схему которая подходит именно ему. (накидать скрипт берущий маки из биллинга и формирующего конфиг дхцп серва с рестартом оного и засовыванием в крон - дело 10-ти мин)

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяюсь к топикстартеру, ибо у нас такая же проблема. Только у нас время аренды 24 часа, так как на заре ввода dhcp snooping + opt82+ ipmb некоторые абоненты жаловались на то, что во время обновления аренды, обрываются все сетевые соединения. Практика показала, что на нашей сети оптимальное время аренды - сутки.

Конечно же интересно кто как решает проблему "перетыкальщиков", только без холивара плиз...

 

У нас сеть строится по принципу vlan per switch, /27 сетка на свич(свичи все 24-х портовые). Используем isc dhcpd, на каждый порт свича в конфиге есть свой class:

 

class "10.5.14.6:1" { match if concat(binary-to-ascii(10, 8, ".", packet(24, 4)), ":", binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1))) 
                  = "10.5.14.6:1"; }

 

и соотв. свой pool:

 

pool { range 10.100.100.1; allow members of "10.5.14.6:1"; }

 

Таким образом, так как свич 24-х портовый , используется 25 адресов из сети /27(24 абонента + шлюз) и есть пять свободных адресов в каждой сети, которые бы можно было выдавать как раз "перетыкальщикам", но никак не соображу как реализовать такую логику работы dhcpd, чтобы, при отсутствии адресов в "основном" пуле(который привязан к свичу+порту), сервер смотрел бы еще и в так называемый "резервный", который для каждого свича был бы конечно же свой(те самые пять адресов).

Пока , для нашей сети, я вижу решение проблемы "перетыкальщиков" только в подобном виде. Может кто-то подсказать, возможно ли реализовать подобную логику работы и если можно , то как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давным давно натыкался на вашу проблему:

http://serverfault.com/questions/28421/opt...second-computer

 

Вкратце:

Самый простой вариант - пропатчить dhcpcd там патч максимум на 7 строчек

Второй способ админский через жо^W скрипты: настроить на свитчах трапы, ловить их и удалять айпишник через omshell

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать.

...

Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают.

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

 

п.с. Звонков с такими вопросами НЕТ ("нет" - это 2-3 в месяц, особо недоходчивые)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А патчем то не поделитесь?
+1

 

Поставлено время аренды 5 минут. Используем схему влан-на-юзера.

Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн)

За 5 минут клиент не успевает сильно расстроиться изза неработающего инета.

Тем более, всех при подключении предупреждаем про "волшебные" 5 минут.

Мои тоже все знают, только до многих не доходит. Могут позвонить в пятницу ночью после бурного застолья с друзьями, со всеми вытекающими.

Колхоз, хренли...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самый простой, но не самый очевидный, еще никто не пропатчил насколько я помню

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожелению патч остался на пред. Пред. Пред. Идущей работе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте плиз еще раз, ну очень надо всем, тем более всего 7 строк

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше скажите, как он работает, а то может проблем от того патча больше, чем он решает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

используется опция 82, привязка ip к порту.

Да чтож вы все такие извращенцы?

DHCP в основном и сделан для экономии адресов, а не прописывании каждому клиенту адреса жестко.

Даем свободно реальный ip из /24 пула на вилан. Несколько виланов на район.

Разбиваем так, что в часы пик свободных лизов ~10.

 

А вот уже при попытки выйти в инет спрашиваем у DHCP какая 82 опция была у клиента с данным ip

(isg initiator unclassified ip-address) - по ней и маку прозрачный автологин. Если попался неизвестный клиент (монтажники заменили свитч, кто то перепутал порты) - клиента на веб форму авторизации.

 

В данный момент схема работает на 3000 студентов. Они и перетыкаются как угодно, могут спокойно поставить в комнате неуправляемый свитч и воткнуть 2 компа. Оба будут свободно работать под своими аккаунтами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. из предыдущих постов следует что никак проблема не решается.

Или ждать или авторизация, плюсом к DHCP.

А не логичнее ли сделать просто авторизацию, eg PPPoE и пусть тыкают куда хотят, что линейщики, что клиенты.

Кстати, привязку по MAC, тем кто жить без этого не может, получаешь автоматически и на любое количество MAC-ов.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделать просто авторизацию, eg PPPoE
Ну и зачем вы опять вспомнили, про этот бред из прошлого века?

Зачем лишняя прослойка, требующая немалых денег для реализации и снижающая функциональность до 0.

Начиная от проблем с IPTV и локальной сетью/пирингом, которые придется пускать по туннелю;

заканчивая нетривиальностью настройки. А при DHCP комп из кородки просто втыкается в сеть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Комп "из коробки" не содержит никакой операционной систеиы.

Вот самосбор "из коробков" - да, содержит, в.т.ч. и мастер подключения к интернету, про кот. рассказывают на каждом углу.

Т.ч. данная передовая технология предоставляет гибкие средства для оператора и создаёт "ощущение причастности" у клиента.

А то что кто-то не в состоянии решить проблемы с рядом сервисов, так это не проблема технологии.

Изменено пользователем Deac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дегтярев Илья

А рассажите подробно как у вас все реализовано.

Вижу кучу граблей, в разы больше чем при использовании PPPOE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У него там isg используется цисковый, а в этом случае проблема как бы не актуальна, можно и динамику выдавать.

Мне вот лично жалко своих кровных чтоб внедрить isg на 100 мбит внешнего трафика, да и из этого вытекает перезатачивание биллинга и все в этом духе. Так что не вариант, писюки с FreeBSD в моем случае неплохо справляются со своей задачей, тратить деньги на NPE-G1(G2) особо желания нет, ну если только попадется за мегадешман :)

 

На тему экономии - мне нечего экономить, я раздаю по умолчанию серые адреса. Белые по запросу от тех, кому оно надо.

Изменено пользователем dsk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.