dsk Опубликовано 14 октября, 2010 (изменено) · Жалоба Хотел вот поинтересоваться по теме: Есть у меня некая доля клиентов, которые по тем или иным причинам обзаводиться домашними роутерами не хотят, и в то же время или имеют дома несколько ноутбуков, или включают в сеть ноуты своих друзей/знакомых/гостей. Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать. В моем случае практикуется два способа лечения: либо заставляем клиентов на всех компах прописывать одинаковый мак, тогда все работает моментально при переключении кабеля, ну или приходится при подобной заявке подчищать lease файл и дергать dhcpd. Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают. Изменено 14 октября, 2010 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 октября, 2010 · Жалоба Очевидно: не использовать isc dhcpd ;-). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 15 октября, 2010 (изменено) · Жалоба Очевидно очевидным, а мне хотелось бы конкретики. Что используется, какие глюки, костыли, производительность и т.п. Многие используют isc, и неужели на эту мелочь конкретно положили, или в этом просто нет необходимости ввиду специфики/политики конторы и т.п.? Изменено 15 октября, 2010 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 октября, 2010 · Жалоба щяс пробую схему дхцп снупинга с max_entry в 2 - 3 мака, соот-но в конфиге дхцп сервака два мака на порт с разными ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 15 октября, 2010 · Жалоба научить клиентов перед вытыканием делать Ipconfig /release Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BuHast Опубликовано 15 октября, 2010 · Жалоба 2 pppoetest: А не пробовали вариант ограничить кол-во маков с помощью port-security? Мне всегда было интересно ограничивать кол-во маков не средствами dhcp & snooping а чем то более простым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 15 октября, 2010 · Жалоба выдавайте более одного IP на порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 октября, 2010 · Жалоба А не пробовали вариант ограничить кол-во маков с помощью port-security?ы?config port_security ports all max_learning_addrнеа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +соnf filter dhcp_server ports 1-24 state enable и у мну еще остаётся 250 пустых ацл-ей, разве не красота? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 15 октября, 2010 · Жалоба А не пробовали вариант ограничить кол-во маков с помощью port-security?ы?config port_security ports all max_learning_addrнеа не пробовал, зачем? если я собираюсь юзать выдачу ипок по дхцп который помимо снупинга делает невозможным арп спуф. +соnf filter dhcp_server ports 1-24 state enable и у мну еще остаётся 250 пустых ацл-ей, разве не красота? У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 октября, 2010 (изменено) · Жалоба У клиента в пятницу сгорает сетевуха. Он купляет новую в вашей схеме адресс выдается ?. Холиварить можно бесконечно долго, каждый ISP выбирает ту схему которая подходит именно ему. (накидать скрипт берущий маки из биллинга и формирующего конфиг дхцп серва с рестартом оного и засовыванием в крон - дело 10-ти мин) Изменено 15 октября, 2010 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 15 октября, 2010 · Жалоба Присоединяюсь к топикстартеру, ибо у нас такая же проблема. Только у нас время аренды 24 часа, так как на заре ввода dhcp snooping + opt82+ ipmb некоторые абоненты жаловались на то, что во время обновления аренды, обрываются все сетевые соединения. Практика показала, что на нашей сети оптимальное время аренды - сутки. Конечно же интересно кто как решает проблему "перетыкальщиков", только без холивара плиз... У нас сеть строится по принципу vlan per switch, /27 сетка на свич(свичи все 24-х портовые). Используем isc dhcpd, на каждый порт свича в конфиге есть свой class: class "10.5.14.6:1" { match if concat(binary-to-ascii(10, 8, ".", packet(24, 4)), ":", binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1))) = "10.5.14.6:1"; } и соотв. свой pool: pool { range 10.100.100.1; allow members of "10.5.14.6:1"; } Таким образом, так как свич 24-х портовый , используется 25 адресов из сети /27(24 абонента + шлюз) и есть пять свободных адресов в каждой сети, которые бы можно было выдавать как раз "перетыкальщикам", но никак не соображу как реализовать такую логику работы dhcpd, чтобы, при отсутствии адресов в "основном" пуле(который привязан к свичу+порту), сервер смотрел бы еще и в так называемый "резервный", который для каждого свича был бы конечно же свой(те самые пять адресов). Пока , для нашей сети, я вижу решение проблемы "перетыкальщиков" только в подобном виде. Может кто-то подсказать, возможно ли реализовать подобную логику работы и если можно , то как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaveTheRbtz Опубликовано 15 октября, 2010 · Жалоба Давным давно натыкался на вашу проблему: http://serverfault.com/questions/28421/opt...second-computer Вкратце: Самый простой вариант - пропатчить dhcpcd там патч максимум на 7 строчек Второй способ админский через жо^W скрипты: настроить на свитчах трапы, ловить их и удалять айпишник через omshell Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 15 октября, 2010 · Жалоба А патчем то не поделитесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Elisium Опубликовано 15 октября, 2010 · Жалоба ... Все это хозяйство поочередно перетыкается, но dhсpd просто так ip не выдает, надо ждать окончания аренды (выставлено 15 мин.), используется опция 82, привязка ip к порту. Подобных клиентов эта ситуация напрягает и они начинают названивать. ... Все эти способы на мой взгляд топорны, посему хотелось бы узнать как другие решают данную проблему, или же за проблему ее просто не считают. Поставлено время аренды 5 минут. Используем схему влан-на-юзера. Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн) За 5 минут клиент не успевает сильно расстроиться изза неработающего инета. Тем более, всех при подключении предупреждаем про "волшебные" 5 минут. п.с. Звонков с такими вопросами НЕТ ("нет" - это 2-3 в месяц, особо недоходчивые) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 15 октября, 2010 · Жалоба А патчем то не поделитесь?+1 Поставлено время аренды 5 минут. Используем схему влан-на-юзера.Используем не на всей сети, а в одном экспериментальном районе (примерно 4 сотни активных в чнн) За 5 минут клиент не успевает сильно расстроиться изза неработающего инета. Тем более, всех при подключении предупреждаем про "волшебные" 5 минут. Мои тоже все знают, только до многих не доходит. Могут позвонить в пятницу ночью после бурного застолья с друзьями, со всеми вытекающими.Колхоз, хренли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 16 октября, 2010 · Жалоба Самый простой, но не самый очевидный, еще никто не пропатчил насколько я помню Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaveTheRbtz Опубликовано 16 октября, 2010 · Жалоба К сожелению патч остался на пред. Пред. Пред. Идущей работе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 16 октября, 2010 · Жалоба Сделайте плиз еще раз, ну очень надо всем, тем более всего 7 строк Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 октября, 2010 · Жалоба Лучше скажите, как он работает, а то может проблем от того патча больше, чем он решает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 16 октября, 2010 · Жалоба используется опция 82, привязка ip к порту. Да чтож вы все такие извращенцы? DHCP в основном и сделан для экономии адресов, а не прописывании каждому клиенту адреса жестко. Даем свободно реальный ip из /24 пула на вилан. Несколько виланов на район. Разбиваем так, что в часы пик свободных лизов ~10. А вот уже при попытки выйти в инет спрашиваем у DHCP какая 82 опция была у клиента с данным ip (isg initiator unclassified ip-address) - по ней и маку прозрачный автологин. Если попался неизвестный клиент (монтажники заменили свитч, кто то перепутал порты) - клиента на веб форму авторизации. В данный момент схема работает на 3000 студентов. Они и перетыкаются как угодно, могут спокойно поставить в комнате неуправляемый свитч и воткнуть 2 компа. Оба будут свободно работать под своими аккаунтами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 16 октября, 2010 · Жалоба Т.е. из предыдущих постов следует что никак проблема не решается. Или ждать или авторизация, плюсом к DHCP. А не логичнее ли сделать просто авторизацию, eg PPPoE и пусть тыкают куда хотят, что линейщики, что клиенты. Кстати, привязку по MAC, тем кто жить без этого не может, получаешь автоматически и на любое количество MAC-ов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 16 октября, 2010 · Жалоба сделать просто авторизацию, eg PPPoEНу и зачем вы опять вспомнили, про этот бред из прошлого века?Зачем лишняя прослойка, требующая немалых денег для реализации и снижающая функциональность до 0. Начиная от проблем с IPTV и локальной сетью/пирингом, которые придется пускать по туннелю; заканчивая нетривиальностью настройки. А при DHCP комп из кородки просто втыкается в сеть) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 16 октября, 2010 (изменено) · Жалоба Комп "из коробки" не содержит никакой операционной систеиы. Вот самосбор "из коробков" - да, содержит, в.т.ч. и мастер подключения к интернету, про кот. рассказывают на каждом углу. Т.ч. данная передовая технология предоставляет гибкие средства для оператора и создаёт "ощущение причастности" у клиента. А то что кто-то не в состоянии решить проблемы с рядом сервисов, так это не проблема технологии. Изменено 16 октября, 2010 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 октября, 2010 · Жалоба Дегтярев Илья А рассажите подробно как у вас все реализовано. Вижу кучу граблей, в разы больше чем при использовании PPPOE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 16 октября, 2010 (изменено) · Жалоба У него там isg используется цисковый, а в этом случае проблема как бы не актуальна, можно и динамику выдавать. Мне вот лично жалко своих кровных чтоб внедрить isg на 100 мбит внешнего трафика, да и из этого вытекает перезатачивание биллинга и все в этом духе. Так что не вариант, писюки с FreeBSD в моем случае неплохо справляются со своей задачей, тратить деньги на NPE-G1(G2) особо желания нет, ну если только попадется за мегадешман :) На тему экономии - мне нечего экономить, я раздаю по умолчанию серые адреса. Белые по запросу от тех, кому оно надо. Изменено 16 октября, 2010 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...