Jump to content
Калькуляторы

dhcp-snooping + unnumbered + opt82

Много инфы по теме, уже и сам не раз настраивал, но вот столкнулся с ситуацией, когда настроил на коммутаторе dhcp_snooping, снупинг работает отлично, а вот 82 опция не добавляется

Документацию перечитал, вроде все делаю как нужно.

 

dhcpd не видит опцию, tshark видит запросы пакеты без опции

 

ip dhcp snooping vlan 100

ip dhcp snooping

 

!

interface Loopback2

ip address xx.xx.xx.254 255.255.255.0

no ip unreachables

end

 

!

interface Vlan100

ip unnumbered Loopback2

ip helper-address yy.yy.yy.22

end

 

интерфейс с dhcp сервером

interface GigabitEthernet8

switchport

switchport mode trunk

ip dhcp snooping trust

end

 

 

 

#sh ip dhcp snooping

------------------

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

100

DHCP snooping is operational on following VLANs:

100

DHCP snooping is configured on the following L3 Interfaces:

 

Insertion of option 82 is enabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is disabled

Verification of giaddr field is enabled

DHCP snooping trust/rate is configured on the following Interfaces:

 

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

GigabitEthernet8 yes unlimited

Share this post


Link to post
Share on other sites

А разве dhcp snooping не должен быть на клиентском влане?

Share this post


Link to post
Share on other sites

sup720

 

в конфиге snooping на клиентском влане - vlan 100

Share this post


Link to post
Share on other sites

Как я понял, схема влан на абонента, есть свитч умеющий только .q который включен в кота, а кот должен навешивать опцию 82 в зависимости от влана ?

Share this post


Link to post
Share on other sites

да, принцип такой,

я один vlan включил, решил проверить как будет работать,

snooping работает. с опцией ничего не понятно, раньше на 3750 так делал все работало, но сейчас нет рядом коммутатора сверить конфиг

Share this post


Link to post
Share on other sites

У вас на свитче релей включен - может в его настройках и надо включать вставку опции?

 

ip dhcp relay information policy replace

 

при включенной команде ip dhcp snooping все команды ip dhcp relay отключаются, о чем сразу сообщает иос,

при попытке написать ip dhcp relay ожидаемо получаю: Can't configure relay information option processing while DHCP snooping is enabled

 

 

 

у кого нормально работает вставка опции - запостите кусок конфига, и если возможно, вывод debug ip dhcp snooping packet, интересно пишется ли там что-то по поводу вставки opt82

Edited by karyon

Share this post


Link to post
Share on other sites

Так выключите снупинг. При наличии релея он не нужен

там в зависимости от софта релей мог тупо не работать без снупинга, так же как например и на 2950/2960.

на каком то древнем софте в упор не хотело заводиться без service dhcp и ip dhcp-server

Share this post


Link to post
Share on other sites

мда..

просто выключил dhcp_snooping и рилей сразу стал добавлять opt82.

включаю снупинг с теми же настройками, все работает, но уже без opt82

 

думаю уже не использовать snooping, relay автоматом создает маршрут на аннамберред юзера.

Ну а сколько этот маршрут будет висеть в таблице маршрутизации? В таблице снупинга видно время лизы, по истечению убивается и маршрут, а что происходит при чистом рилее? Когда удалиться маршрут?

 

-----

оказалось для unnumberred в опции 82 есть Remote-id (в нем вся инфа) и нет Circut-id,

а конкретно у меня в еще и вместо номера Vlan стоят нули ((

Edited by karyon

Share this post


Link to post
Share on other sites

У меня опцию 82 не добавляло пока порты были в одном влане.

 

Посмотрите в доках на вашу железку особенности настройки дхцп.

 

 

Share this post


Link to post
Share on other sites

-----

оказалось для unnumberred в опции 82 есть Remote-id (в нем вся инфа) и нет Circut-id,

а конкретно у меня в еще и вместо номера Vlan стоят нули ((

Тоже столкнулся с этой проблемой - что вместо влана нули , не поделитесь опытом как вышли из ситуации?

Share this post


Link to post
Share on other sites

ЁП№;"№"№"№"№"№"№!!!!

я думал это глюк какой-то , с пустым circuit-id , вот оно в чем дело оказывается.

 

ща попробуем как-нить на радиусе вытащить номер влана из длинного remote-id

 

если кто-то победил уже, поделитесь как..

Share this post


Link to post
Share on other sites

Понимаю что не кошерно, но попробуйте этим снифером-дампером под винду: http://www.netlab.linkpc.net/download/tmp/DHCPTool.exe (можно в кач адреса дхцп сервера указать виндовую тачку с прогой).

или сдампите пакетик и выложите где нибудь, я посмотрю у себя.

Share this post


Link to post
Share on other sites

при снупинге

agent-circuit-id = 0x00040bde000b

agent-remoute-id = 0x01086c3372656c617932

 

при релее

agent-remoute-id = 0x020a0000ac1bff010e000000

 

как видно из agent-circuit-id в первом случае согласно http://wiki.sirmax.noname.com.ua/index.php/D-LINK_DHCP_Relay_option_82:

VLAN = 0x0bde (т.е. 3038),

модуль = 0х00 (т.е. 0),

порт = 0х0b (т.е. 11).

 

agent-remoute-id дает нам:

тип=0х01,

длинна=0х08 (т.е. далее 8 байт),

тип RemoteID=0х6с,

длина=0х33,(вот тут не понятно)

agent-id=0x72656c617932

 

во втором случае согласно http://www.cisco.com/en/US/docs/ios/12_2t/12_2t2/feature/guide/ftrbeo82.html

agent-remoute-id дает нам следующее:

тип порта=0х02,

длинна=0х0a (т.е. далее 10 байт),

байты 3 и 4 равные 0х00 зарезервированны,

nas-ip=0xac1bff01 (т.е. 172.27.255.1),

nas-port=0x0e000000.

 

nas-port расшифровывается как:

interface=0x0e,

VPI=0x00,

VCI=0x0000.

 

interface расшифровывается как:

слот=0b0000

модуль=0b1(т.е. 1?)

порт=0b110(т.е. 6?)

 

возможно я где-то ошибся, есть идеи?

Share this post


Link to post
Share on other sites

муршрут удалится когда истечет время лизы, маршрут к лизе привязывается.

Share this post


Link to post
Share on other sites

неверно немного расшифровал во втором случае.

согласно http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtunvlan.html

 

agent-remoute-id = 0x020a0000ac1bff010e000000

 

дает нам следующее:

тип порта=0х02,

длина=0х0a (т.е. далее 10 байт),

байты 3 и 4 равные 0х00 зарезервированны,

nas-ip=0xac1bff01 (т.е. 172.27.255.1),

interface=0x0e,

байты 9 и 10 равные 0х00 зарезервированны,

VLANID=0x0000 (почему?)

 

interface расшифровывается как:

слот=0b0000

модуль=0b1(т.е. 1?)

порт=0b110(т.е. 6?)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this