vovan-pmr Posted January 25, 2011 Posted January 25, 2011 пытаюсь заставить работать такую схему: user -> D-Link3550 -> Cisco ISG + DHCP server ISC DHCPD D-Link релеит DHCP запросы на сервер через ISG (ISG для него шлюз) # DHCP_RELAY enable dhcp_relay config dhcp_relay hops 16 time 0 config dhcp_relay option_82 state enable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy keep config dhcp_relay option_82 remote_id user_define "SW1" config dhcp_relay option_60 state disable config dhcp_relay option_60 default mode drop config dhcp_relay option_61 state disable config dhcp_relay option_61 default drop config dhcp_relay add ipif System 10.10.10.10 - адрес SHCP сервера ISG в свою очередь тоже выступает релеем: ip dhcp relay information option ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all interface GigabitEthernet0/1.120 encapsulation dot1Q 120 ip unnumbered Loopback1 ip helper-address 10.10.10.10 no ip proxy-arp service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator dhcp пакеты на DHCP сервер попадают с option 82, но сессия должна инициироваться по DHCP DISCOVER (initiator dhcp), а ничего подобного не происходит, в дебаге на ISG ничего не видно по DHCP. получается user IP получает, а ISG к радиусу даже не обращается........ что не так??? Вставить ник Quote
Tsvetkov Posted January 25, 2011 Posted January 25, 2011 (edited) На длинке указываться ip адрес ISG а не сервера DHCP на isq настраиваеться так ip dhcp relay information policy encapsulate ip dhcp pool test relay destination ip_dhcp_server relay source ip_management_network (ip-диапазон - сеть управления свичей с которых приходит запрос) DHCP сервер должен добавлять в ответы 82 опцию которая пришла от ISG на основе ответа в пакете с 82 опцией от DHCP сервера, ISG поймет куда дальше отправить пакет ip helper-address 10.10.10.10 - не нужен Edited January 25, 2011 by Tsvetkov Вставить ник Quote
rus-p Posted March 21, 2011 Posted March 21, 2011 А если более простая конфигурация, когда коммутатор доступа не оборачивает в L3 dhcp пакеты, т.е. не является полноценным релеем ? И либо довешивает опцию и гонит наверх L2 пакет либо вообще не навешивает ничего. А первым L3 релеем становиться ISG. Роутер не дает выполнить команду relay destination ...., требует ввести ему relay source... Какого спрашивается ему это нужно, софт заточен только под схему с двумя L3 релеями ? Вставить ник Quote
vovan-pmr Posted March 21, 2011 Author Posted March 21, 2011 в этом случае включаете на пользовательском сабинтерфейсе на ISG: ip helper-address x.x.x.x - адрес DHCP сервера Вставить ник Quote
rus-p Posted March 21, 2011 Posted March 21, 2011 Пробывал и ее, не прокатило, подумал, что отстал от тренда и решил пойти описанным здесь путем ) Как оказалось, все проще, у меня dhcp и клиенты в разных vrf. И вот выдержка, если конечно она актуальна для XE. VRF-Aware (Inter-VRF) DHCP-Relay can be configured to forward DHCP requests to DHCP servers located in a specific VRF instance that is different than the interface VRF instance. The Cisco IOS Software does not support VRF-Aware DHCP-Relay. Вставить ник Quote
vovan-pmr Posted March 21, 2011 Author Posted March 21, 2011 ну почему же, для этого есть команда вот например: interface ethernet 0/1 ip helper-address vrf red 10.44.23.7 - ip DHCP сервера Вставить ник Quote
tsolodov Posted March 22, 2011 Posted March 22, 2011 На радиус авторизация шлется? Покажите политику ISG-CUSTOMERS-POLICY Вставить ник Quote
rus-p Posted March 22, 2011 Posted March 22, 2011 не, на радиус не шлется policy-map type control TAL class type control always event session-start 10 authorize aaa password 123456 identifier mac-address Вставить ник Quote
tsolodov Posted March 22, 2011 Posted March 22, 2011 не, на радиус не шлется policy-map type control TAL class type control always event session-start 10 authorize aaa password 123456 identifier mac-address А почему в первом посте в конфиге интерфейса политика ISG-CUSTOMERS-POLICY прописана, а вы мне отписали про политику TAL ? Вставить ник Quote
rus-p Posted March 22, 2011 Posted March 22, 2011 Это vovan-mpr писал, мы разные люди ) И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf. Вставить ник Quote
tsolodov Posted March 22, 2011 Posted March 22, 2011 (edited) Это vovan-mpr писал, мы разные люди )И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf. А можно конфиг интерфейсов, которые в разных VRF? Я с VRF тоже на грабли вставал и их решил. Edited March 22, 2011 by tsolodov Вставить ник Quote
rus-p Posted March 22, 2011 Posted March 22, 2011 Ваши грабли я видел, они несколько иного плана. Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой. interface GigabitEthernet0/0/0.2 vrf forwarding subs encapsulation dot1Q 301 second-dot1q 998 ip dhcp relay source-interface GigabitEthernet0 ip unnumbered Loopback1 ip helper-address vrf Mgmt-intf x.x.x.x service-policy type control TAL ip subscriber l2-connected initiator dhcp ! Вставить ник Quote
tsolodov Posted March 22, 2011 Posted March 22, 2011 (edited) Ваши грабли я видел, они несколько иного плана. Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой. interface GigabitEthernet0/0/0.2 vrf forwarding subs encapsulation dot1Q 301 second-dot1q 998 ip dhcp relay source-interface GigabitEthernet0 ip unnumbered Loopback1 ip helper-address vrf Mgmt-intf x.x.x.x service-policy type control TAL ip subscriber l2-connected initiator dhcp ! Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф? Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Edited March 22, 2011 by tsolodov Вставить ник Quote
rus-p Posted March 22, 2011 Posted March 22, 2011 Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Ваш способ тянет на dynamic vrf selection. Мне такого добра не надо, там рестрикшны еще сильнее сгущаются. Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf. Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf). К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Вставить ник Quote
tsolodov Posted March 22, 2011 Posted March 22, 2011 (edited) Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Ваш способ тянет на dynamic vrf selection. Мне такого добра не надо, там рестрикшны еще сильнее сгущаются. Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf. Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf). К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Какие именно рестрикшны вы имеете ввиду? К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов. Edited March 22, 2011 by tsolodov Вставить ник Quote
rus-p Posted March 23, 2011 Posted March 23, 2011 (edited) Какие именно рестрикшны вы имеете ввиду? К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов. Рестрикшены описаны в доке. Из неприятных, это отсутствие аксесс листов, QoS, зависимость от истечения первой лизы, необходимость логона в веб портале. Вообщем труба полная. В принципе, циска же приписала, для чего все это городить - равноценный доступ разным операторам, к инфраструктуре последней мили, принадлежащей как правило какому-то монстру. Это же стандартные европейские закорючки, нам оно пока ни к чему. Собственно родитель работает только на том интерфейсе с которого сабинтерфейсы идут, не работает только лупбек. К чему это приведет пока не ясно. Но ISG IPoE совместно с ATOM уже не заводятся. Ситуация с NAT мне вообще не нравиться. Вот наг стал дистрибьютором редбека, так в нем и нат и брас и бгп на 5 тыс пользователей и все удовольствие за 20k$, а с этим asr засада на засаде. Edited March 23, 2011 by rus-p Вставить ник Quote
tsolodov Posted March 23, 2011 Posted March 23, 2011 насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает. Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему)))) Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого. Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection? Вставить ник Quote
rus-p Posted March 24, 2011 Posted March 24, 2011 (edited) насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает.Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему)))) Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого. Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection? Я тоже пока не пойму как навесить dot1p на егресс. MQCишные полиси и трафик классы, определенные на AAA, не живут вместе. С некстхопом, точнее разными подсетями для разных типов клиентов посмотрите на функционал dhcp классов. Когда имя класса прилетает от радиуса, и уже локальный dhcp сервер разбирает кому чего. Edited March 24, 2011 by rus-p Вставить ник Quote
Cramac Posted June 24, 2011 Posted June 24, 2011 Всем привет. Подскажите по такому вопросу. Есть схема пользователь - es3528m - vlan(x) - es4612 (relay) - dhcp server на сервер приходят запросы ввида: Jun 19 13:46:31 server2 dhcpd: DHCPDISCOVER from 00:26:18:26:6c:27 (game-edition) via 10.10.2.254 Jun 19 13:46:31 server2 dhcpd: DHCPOFFER on 172.20.1.5 to 00:26:18:26:6c:27 (game-edition) via 10.10.2.254 т.е. с какого бы влана не пришел запрос, адреса выдаются из 1 и того же пула. Как сделать что бы в каждый влан выдавались свои адреса? Конфиг дхцп: default-lease-time 100; max-lease-time 600; local-address 10.10.10.2; authoritative; log-facility local7; ddns-update-style none; option ms-classless-static-routes code 249 = array of unsigned integer 8; option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; subnet 10.10.10.0 netmask 255.255.255.0 {} log(info, "*!*1*"); if exists agent.circuit-id { log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ", binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 1)), " , VLAN ", binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ", binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6)))); } log(info, "*!*2*"); shared-network YotaLan { subnet 10.10.1.0 netmask 255.255.255.0 {} subnet 10.10.2.0 netmask 255.255.255.0 { option routers 10.10.2.254; option ntp-servers 10.10.10.1; option ms-classless-static-routes 16, 10,10, 10,10,2,254; option rfc3442-classless-static-routes 16, 10,10, 10,10,2,254; } class "sw.238.9" { match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "9" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60; } class "sw.238.7" { match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "7" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60; } pool { range 10.10.2.200; allow members of "sw.238.9"; } pool { range 10.10.2.201; allow members of "sw.238.7"; } # seg_1 subnet 172.20.1.0 netmask 255.255.255.0 { option routers 172.20.1.254; option ntp-servers 10.10.10.1; option ms-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254; option rfc3442-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254; range 172.20.1.1 172.20.1.253; } } Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.