vovan-pmr Опубликовано 25 января, 2011 · Жалоба пытаюсь заставить работать такую схему: user -> D-Link3550 -> Cisco ISG + DHCP server ISC DHCPD D-Link релеит DHCP запросы на сервер через ISG (ISG для него шлюз) # DHCP_RELAY enable dhcp_relay config dhcp_relay hops 16 time 0 config dhcp_relay option_82 state enable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy keep config dhcp_relay option_82 remote_id user_define "SW1" config dhcp_relay option_60 state disable config dhcp_relay option_60 default mode drop config dhcp_relay option_61 state disable config dhcp_relay option_61 default drop config dhcp_relay add ipif System 10.10.10.10 - адрес SHCP сервера ISG в свою очередь тоже выступает релеем: ip dhcp relay information option ip dhcp relay information policy keep no ip dhcp relay information check ip dhcp relay information trust-all interface GigabitEthernet0/1.120 encapsulation dot1Q 120 ip unnumbered Loopback1 ip helper-address 10.10.10.10 no ip proxy-arp service-policy type control ISG-CUSTOMERS-POLICY ip subscriber l2-connected initiator dhcp пакеты на DHCP сервер попадают с option 82, но сессия должна инициироваться по DHCP DISCOVER (initiator dhcp), а ничего подобного не происходит, в дебаге на ISG ничего не видно по DHCP. получается user IP получает, а ISG к радиусу даже не обращается........ что не так??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tsvetkov Опубликовано 25 января, 2011 (изменено) · Жалоба На длинке указываться ip адрес ISG а не сервера DHCP на isq настраиваеться так ip dhcp relay information policy encapsulate ip dhcp pool test relay destination ip_dhcp_server relay source ip_management_network (ip-диапазон - сеть управления свичей с которых приходит запрос) DHCP сервер должен добавлять в ответы 82 опцию которая пришла от ISG на основе ответа в пакете с 82 опцией от DHCP сервера, ISG поймет куда дальше отправить пакет ip helper-address 10.10.10.10 - не нужен Изменено 25 января, 2011 пользователем Tsvetkov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 21 марта, 2011 · Жалоба А если более простая конфигурация, когда коммутатор доступа не оборачивает в L3 dhcp пакеты, т.е. не является полноценным релеем ? И либо довешивает опцию и гонит наверх L2 пакет либо вообще не навешивает ничего. А первым L3 релеем становиться ISG. Роутер не дает выполнить команду relay destination ...., требует ввести ему relay source... Какого спрашивается ему это нужно, софт заточен только под схему с двумя L3 релеями ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 21 марта, 2011 · Жалоба в этом случае включаете на пользовательском сабинтерфейсе на ISG: ip helper-address x.x.x.x - адрес DHCP сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 21 марта, 2011 · Жалоба Пробывал и ее, не прокатило, подумал, что отстал от тренда и решил пойти описанным здесь путем ) Как оказалось, все проще, у меня dhcp и клиенты в разных vrf. И вот выдержка, если конечно она актуальна для XE. VRF-Aware (Inter-VRF) DHCP-Relay can be configured to forward DHCP requests to DHCP servers located in a specific VRF instance that is different than the interface VRF instance. The Cisco IOS Software does not support VRF-Aware DHCP-Relay. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 21 марта, 2011 · Жалоба ну почему же, для этого есть команда вот например: interface ethernet 0/1 ip helper-address vrf red 10.44.23.7 - ip DHCP сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 21 марта, 2011 · Жалоба Команда то есть, но не шлет ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 марта, 2011 · Жалоба На радиус авторизация шлется? Покажите политику ISG-CUSTOMERS-POLICY Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 · Жалоба не, на радиус не шлется policy-map type control TAL class type control always event session-start 10 authorize aaa password 123456 identifier mac-address Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 марта, 2011 · Жалоба не, на радиус не шлется policy-map type control TAL class type control always event session-start 10 authorize aaa password 123456 identifier mac-address А почему в первом посте в конфиге интерфейса политика ISG-CUSTOMERS-POLICY прописана, а вы мне отписали про политику TAL ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 · Жалоба Это vovan-mpr писал, мы разные люди ) И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 марта, 2011 (изменено) · Жалоба Это vovan-mpr писал, мы разные люди )И схемы у нас разные, у него 2 полноценных релея, у меня один релей но пользователи и релай в разных vrf. А можно конфиг интерфейсов, которые в разных VRF? Я с VRF тоже на грабли вставал и их решил. Изменено 22 марта, 2011 пользователем tsolodov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 · Жалоба Ваши грабли я видел, они несколько иного плана. Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой. interface GigabitEthernet0/0/0.2 vrf forwarding subs encapsulation dot1Q 301 second-dot1q 998 ip dhcp relay source-interface GigabitEthernet0 ip unnumbered Loopback1 ip helper-address vrf Mgmt-intf x.x.x.x service-policy type control TAL ip subscriber l2-connected initiator dhcp ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 марта, 2011 (изменено) · Жалоба Ваши грабли я видел, они несколько иного плана. Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой. interface GigabitEthernet0/0/0.2 vrf forwarding subs encapsulation dot1Q 301 second-dot1q 998 ip dhcp relay source-interface GigabitEthernet0 ip unnumbered Loopback1 ip helper-address vrf Mgmt-intf x.x.x.x service-policy type control TAL ip subscriber l2-connected initiator dhcp ! Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф? Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Изменено 22 марта, 2011 пользователем tsolodov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 22 марта, 2011 · Жалоба Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Ваш способ тянет на dynamic vrf selection. Мне такого добра не надо, там рестрикшны еще сильнее сгущаются. Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf. Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf). К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 22 марта, 2011 (изменено) · Жалоба Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?Если так то: 1)убираем врф с сабинтерфейса 2)прописываем врф в профиле пользователя 10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400 10.91.0.101 Cisco-Account-Info += AIX 10.91.0.101 Cisco-Account-Info += ALOCAL 10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT Ваш способ тянет на dynamic vrf selection. Мне такого добра не надо, там рестрикшны еще сильнее сгущаются. Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf. Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf). К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Какие именно рестрикшны вы имеете ввиду? К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов. Изменено 22 марта, 2011 пользователем tsolodov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 23 марта, 2011 (изменено) · Жалоба Какие именно рестрикшны вы имеете ввиду? К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным. Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов. Рестрикшены описаны в доке. Из неприятных, это отсутствие аксесс листов, QoS, зависимость от истечения первой лизы, необходимость логона в веб портале. Вообщем труба полная. В принципе, циска же приписала, для чего все это городить - равноценный доступ разным операторам, к инфраструктуре последней мили, принадлежащей как правило какому-то монстру. Это же стандартные европейские закорючки, нам оно пока ни к чему. Собственно родитель работает только на том интерфейсе с которого сабинтерфейсы идут, не работает только лупбек. К чему это приведет пока не ясно. Но ISG IPoE совместно с ATOM уже не заводятся. Ситуация с NAT мне вообще не нравиться. Вот наг стал дистрибьютором редбека, так в нем и нат и брас и бгп на 5 тыс пользователей и все удовольствие за 20k$, а с этим asr засада на засаде. Изменено 23 марта, 2011 пользователем rus-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tsolodov Опубликовано 23 марта, 2011 · Жалоба насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает. Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему)))) Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого. Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 24 марта, 2011 (изменено) · Жалоба насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает.Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему)))) Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого. Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection? Я тоже пока не пойму как навесить dot1p на егресс. MQCишные полиси и трафик классы, определенные на AAA, не живут вместе. С некстхопом, точнее разными подсетями для разных типов клиентов посмотрите на функционал dhcp классов. Когда имя класса прилетает от радиуса, и уже локальный dhcp сервер разбирает кому чего. Изменено 24 марта, 2011 пользователем rus-p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 24 июня, 2011 · Жалоба Всем привет. Подскажите по такому вопросу. Есть схема пользователь - es3528m - vlan(x) - es4612 (relay) - dhcp server на сервер приходят запросы ввида: Jun 19 13:46:31 server2 dhcpd: DHCPDISCOVER from 00:26:18:26:6c:27 (game-edition) via 10.10.2.254 Jun 19 13:46:31 server2 dhcpd: DHCPOFFER on 172.20.1.5 to 00:26:18:26:6c:27 (game-edition) via 10.10.2.254 т.е. с какого бы влана не пришел запрос, адреса выдаются из 1 и того же пула. Как сделать что бы в каждый влан выдавались свои адреса? Конфиг дхцп: default-lease-time 100; max-lease-time 600; local-address 10.10.10.2; authoritative; log-facility local7; ddns-update-style none; option ms-classless-static-routes code 249 = array of unsigned integer 8; option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; subnet 10.10.10.0 netmask 255.255.255.0 {} log(info, "*!*1*"); if exists agent.circuit-id { log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ", binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 1)), " , VLAN ", binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ", binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6)))); } log(info, "*!*2*"); shared-network YotaLan { subnet 10.10.1.0 netmask 255.255.255.0 {} subnet 10.10.2.0 netmask 255.255.255.0 { option routers 10.10.2.254; option ntp-servers 10.10.10.1; option ms-classless-static-routes 16, 10,10, 10,10,2,254; option rfc3442-classless-static-routes 16, 10,10, 10,10,2,254; } class "sw.238.9" { match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "9" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60; } class "sw.238.7" { match if binary-to-ascii(10,8,".",suffix(option agent.circuit-id,1)) = "7" and suffix(option agent.remote-id,6) = 70:72:cf:e:8d:60; } pool { range 10.10.2.200; allow members of "sw.238.9"; } pool { range 10.10.2.201; allow members of "sw.238.7"; } # seg_1 subnet 172.20.1.0 netmask 255.255.255.0 { option routers 172.20.1.254; option ntp-servers 10.10.10.1; option ms-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254; option rfc3442-classless-static-routes 16 , 10 , 10 , 172 , 20 , 1 , 254; range 172.20.1.1 172.20.1.253; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...