Jump to content
Калькуляторы

ISG DHCP relay

пытаюсь заставить работать такую схему: user -> D-Link3550 -> Cisco ISG + DHCP server ISC DHCPD

D-Link релеит DHCP запросы на сервер через ISG (ISG для него шлюз)

 

# DHCP_RELAY

 

enable dhcp_relay

config dhcp_relay hops 16 time 0

config dhcp_relay option_82 state enable

config dhcp_relay option_82 check disable

config dhcp_relay option_82 policy keep

config dhcp_relay option_82 remote_id user_define "SW1"

config dhcp_relay option_60 state disable

config dhcp_relay option_60 default mode drop

config dhcp_relay option_61 state disable

config dhcp_relay option_61 default drop

config dhcp_relay add ipif System 10.10.10.10 - адрес SHCP сервера

 

ISG в свою очередь тоже выступает релеем:

 

ip dhcp relay information option

ip dhcp relay information policy keep

no ip dhcp relay information check

ip dhcp relay information trust-all

 

interface GigabitEthernet0/1.120

encapsulation dot1Q 120

ip unnumbered Loopback1

ip helper-address 10.10.10.10

no ip proxy-arp

service-policy type control ISG-CUSTOMERS-POLICY

ip subscriber l2-connected

initiator dhcp

 

 

пакеты на DHCP сервер попадают с option 82, но сессия должна инициироваться по DHCP DISCOVER (initiator dhcp), а ничего подобного не происходит, в дебаге на ISG ничего не видно по DHCP.

получается user IP получает, а ISG к радиусу даже не обращается........

что не так???

Share this post


Link to post
Share on other sites

На длинке указываться ip адрес ISG

а не сервера DHCP

 

на isq настраиваеться так

ip dhcp relay information policy encapsulate
ip dhcp pool test
        relay destination ip_dhcp_server
        relay source ip_management_network (ip-диапазон - сеть управления свичей с которых приходит запрос)

 

 

DHCP сервер должен добавлять в ответы 82 опцию которая пришла от ISG

на основе ответа в пакете с 82 опцией от DHCP сервера, ISG поймет куда дальше отправить пакет

 

ip helper-address 10.10.10.10 - не нужен

Edited by Tsvetkov

Share this post


Link to post
Share on other sites

А если более простая конфигурация, когда коммутатор доступа не оборачивает в L3 dhcp пакеты, т.е. не является полноценным релеем ?

И либо довешивает опцию и гонит наверх L2 пакет либо вообще не навешивает ничего.

А первым L3 релеем становиться ISG.

Роутер не дает выполнить команду relay destination ...., требует ввести ему relay source...

Какого спрашивается ему это нужно, софт заточен только под схему с двумя L3 релеями ?

 

 

Share this post


Link to post
Share on other sites

в этом случае включаете на пользовательском сабинтерфейсе на ISG:

 

ip helper-address x.x.x.x - адрес DHCP сервера

Share this post


Link to post
Share on other sites

Пробывал и ее, не прокатило, подумал, что отстал от тренда и решил пойти описанным здесь путем )

Как оказалось, все проще, у меня dhcp и клиенты в разных vrf.

И вот выдержка, если конечно она актуальна для XE.

 

VRF-Aware (Inter-VRF) DHCP-Relay can be configured to forward DHCP requests to DHCP servers located in a specific VRF instance that is different than the interface VRF instance. The Cisco IOS Software does not support VRF-Aware DHCP-Relay.

Share this post


Link to post
Share on other sites

ну почему же, для этого есть команда

вот например:

 

interface ethernet 0/1

ip helper-address vrf red 10.44.23.7 - ip DHCP сервера

Share this post


Link to post
Share on other sites

Команда то есть, но не шлет (

Share this post


Link to post
Share on other sites

На радиус авторизация шлется?

Покажите политику

ISG-CUSTOMERS-POLICY

Share this post


Link to post
Share on other sites

не, на радиус не шлется

 

policy-map type control TAL

class type control always event session-start

10 authorize aaa password 123456 identifier mac-address

 

 

Share this post


Link to post
Share on other sites
не, на радиус не шлется

 

policy-map type control TAL

class type control always event session-start

10 authorize aaa password 123456 identifier mac-address

А почему в первом посте в конфиге интерфейса политика ISG-CUSTOMERS-POLICY прописана, а вы мне отписали про политику TAL ?

Share this post


Link to post
Share on other sites

Это vovan-mpr писал, мы разные люди )

И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf.

 

Share this post


Link to post
Share on other sites
Это vovan-mpr писал, мы разные люди )

И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf.

А можно конфиг интерфейсов, которые в разных VRF?

 

 

Я с VRF тоже на грабли вставал и их решил.

 

Edited by tsolodov

Share this post


Link to post
Share on other sites

Ваши грабли я видел, они несколько иного плана.

 

Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой.

 

interface GigabitEthernet0/0/0.2

vrf forwarding subs

encapsulation dot1Q 301 second-dot1q 998

ip dhcp relay source-interface GigabitEthernet0

ip unnumbered Loopback1

ip helper-address vrf Mgmt-intf x.x.x.x

service-policy type control TAL

ip subscriber l2-connected

initiator dhcp

!

 

 

Share this post


Link to post
Share on other sites
Ваши грабли я видел, они несколько иного плана.

 

Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой.

 

interface GigabitEthernet0/0/0.2

vrf forwarding subs

encapsulation dot1Q 301 second-dot1q 998

ip dhcp relay source-interface GigabitEthernet0

ip unnumbered Loopback1

ip helper-address vrf Mgmt-intf x.x.x.x

service-policy type control TAL

ip subscriber l2-connected

initiator dhcp

!

Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?

Если так то:

1)убираем врф с сабинтерфейса

2)прописываем врф в профиле пользователя

 

 

10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400

10.91.0.101 Cisco-Account-Info += AIX

10.91.0.101 Cisco-Account-Info += ALOCAL

10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT

Edited by tsolodov

Share this post


Link to post
Share on other sites
Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?

Если так то:

1)убираем врф с сабинтерфейса

2)прописываем врф в профиле пользователя

 

 

10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400

10.91.0.101 Cisco-Account-Info += AIX

10.91.0.101 Cisco-Account-Info += ALOCAL

10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT

Ваш способ тянет на dynamic vrf selection.

Мне такого добра не надо, там рестрикшны еще сильнее сгущаются.

 

Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf.

Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf).

 

К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

 

 

Share this post


Link to post
Share on other sites
Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?

Если так то:

1)убираем врф с сабинтерфейса

2)прописываем врф в профиле пользователя

 

 

10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400

10.91.0.101 Cisco-Account-Info += AIX

10.91.0.101 Cisco-Account-Info += ALOCAL

10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT

Ваш способ тянет на dynamic vrf selection.

Мне такого добра не надо, там рестрикшны еще сильнее сгущаются.

 

Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf.

Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf).

 

К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

Какие именно рестрикшны вы имеете ввиду?

 

К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов.

 

 

Edited by tsolodov

Share this post


Link to post
Share on other sites
Какие именно рестрикшны вы имеете ввиду?

 

К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов.

Рестрикшены описаны в доке.

Из неприятных, это отсутствие аксесс листов, QoS, зависимость от истечения первой лизы, необходимость логона в веб портале.

Вообщем труба полная.

В принципе, циска же приписала, для чего все это городить - равноценный доступ разным операторам, к инфраструктуре последней мили, принадлежащей как правило какому-то монстру.

Это же стандартные европейские закорючки, нам оно пока ни к чему.

 

Собственно родитель работает только на том интерфейсе с которого сабинтерфейсы идут, не работает только лупбек.

К чему это приведет пока не ясно. Но ISG IPoE совместно с ATOM уже не заводятся.

Ситуация с NAT мне вообще не нравиться. Вот наг стал дистрибьютором редбека, так в нем и нат и брас и бгп на 5 тыс пользователей и все удовольствие за 20k$, а с этим asr засада на засаде.

Edited by rus-p

Share this post


Link to post
Share on other sites

насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает.

Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему))))

 

Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого.

 

Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection?

 

 

Share this post


Link to post
Share on other sites
насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает.

Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему))))

 

Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого.

 

Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection?

Я тоже пока не пойму как навесить dot1p на егресс. MQCишные полиси и трафик классы, определенные на AAA, не живут вместе.

 

С некстхопом, точнее разными подсетями для разных типов клиентов посмотрите на функционал dhcp классов.

Когда имя класса прилетает от радиуса, и уже локальный dhcp сервер разбирает кому чего.

Edited by rus-p

Share this post


Link to post
Share on other sites

Всем привет. Подскажите по такому вопросу.

Есть схема

пользователь - es3528m - vlan(x) - es4612 (relay) - dhcp server

на сервер приходят запросы ввида:

Jun 19 13:46:31 server2 dhcpd: DHCPDISCOVER from 00:26:18:26:6c:27 (game-edition) via 10.10.2.254

Jun 19 13:46:31 server2 dhcpd: DHCPOFFER on 172.20.1.5 to 00:26:18:26:6c:27 (game-edition) via 10.10.2.254

 

т.е. с какого бы влана не пришел запрос, адреса выдаются из 1 и того же пула. Как сделать что бы в каждый влан выдавались свои адреса?

 

Конфиг дхцп:

 

default-lease-time 100;

max-lease-time 600;

 

local-address 10.10.10.2;

authoritative;

log-facility local7;

 

ddns-update-style none;

 

option ms-classless-static-routes code 249 = array of unsigned integer 8;

option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

 

subnet 10.10.10.0 netmask 255.255.255.0 {}

 

log(info, "*!*1*");

if exists agent.circuit-id {

 

log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ",

binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 1)), " , VLAN ",

binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ",

binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6))));

 

}

log(info, "*!*2*");

 

 

shared-network YotaLan

{

 

subnet 10.10.1.0 netmask 255.255.255.0 {}

 

subnet 10.10.2.0 netmask 255.255.255.0

{

option routers 10.10.2.254;

option ntp-servers 10.10.10.1;

option ms-classless-static-routes 16, 10,10, 10,10,2,254;

option rfc3442-classless-static-routes 16, 10,10, 10,10,2,254;

}

 

class "sw.238.9" {

match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "9" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60;

}

class "sw.238.7" {

match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "7" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60;

}

pool {

range 10.10.2.200;

allow members of "sw.238.9";

}

pool {

range 10.10.2.201;

allow members of "sw.238.7";

}

 

 

 

# seg_1

subnet 172.20.1.0 netmask 255.255.255.0 {

option routers 172.20.1.254;

option ntp-servers 10.10.10.1;

option ms-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254;

option rfc3442-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254;

range 172.20.1.1 172.20.1.253;

}

 

}

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this