Cisco ip unnumbered + opt82 + dhcp-server

[biox]

Прошу помощи в настройке связки из ip unnumbered, Option 82 и отдельно стоящего DHCP сервера (с поддержкой opt82).

 

В сети используется схема vlan на абонента (иногда на дом или район, но с изоляцией портов) + влан управления, с ip unnumbered терминацией вланов на ядре cat. 6500, на клиентских vlan настроен helper-address

 

В настоящий момент работает следующим образом:

 

1. Клиент шлёт dhcp запрос в своём клиентском влане.

2. Запрос прилетает на первый L3 хоп (ip unnumbered на ядре)

3. Ядро пересылает запрос на DHCP сервер в соответствии с настроенным helper-address

4. DHCP сервер шлёт ответ ядру

5. Ядро полчает ответ, передаёт его клиенту в его влане и создаёт на себе маршрут до клиента

 

Есть непреодолимое желание возиметь всё то же самое, но с opt82, но пока что не выходит.....

 

Для понимания будем считать что циска имеет SUP-720 3b, а доступ у меня построен на d-link des-3200, адреса выдаются на основании MAC адреса клиента, хочу выдавать на основании circuit/remote id.

Edited August 19, 2013 by biox

[adnull]

DHCP сервер на каком основании выдает ip ?

[biox]

сервер заточен и по необходимости будет подтачиваться.

Главный вопрос что настроить на доступе и на ядре.

Edited August 19, 2013 by biox

[darkagent]

какая популярная и в то же время болезненная тема :)

http://www.google.com/search?q=ip+unnumbered+dhcp+helper+site:forum.nag.ru&safe=off&hs=GaP&channel=suggest&biw=2471&bih=1335

[NikAlexAn]

Ну а что мешает DHCP серверу выделять адреса в зависимости от содержимого agent circuit/remote id?

У нас так и работает.

 

PS: А какой sup на 6500?

Edited August 19, 2013 by NikAlexAn

[biox]

Ну а что мешает DHCP серверу выделять адреса в зависимости от содержимого agent circuit/remote id?

У нас так и работает.

Всё верно. Наверное ничего не мешает, но для этого до dhcp сервера должны корректно дойти circuit/remote id. Так?

 

SUP720 3B

Edited August 19, 2013 by biox

[adnull]

Конечно. Релей на 6500 должен их выставлять.

[biox]

darkagent очень популярная и очееень болезненная.

 

Как понимаю я вставлять опцию должен свич доступа, а циска должна просто перенаправить запрос и ответ и создать роут на себе.

[NikAlexAn]

Всё верно. Наверное ничего не мешает, но для этого до dhcp сервера должны корректно дойти circuit/remote id. Так?

 

SUP720 3B

У нас только по номеру влана:

ip dhcp relay information policy keep

ip dhcp relay information trust-all

ip dhcp snooping vlan xxx-yyy

ip dhcp snooping

vlan xxx-yyy

interface Loopback0

ip address aa.bb.cc.1 255.255.224.0

no ip redirects

no ip unreachables

ip local-proxy-arp

ip route-cache same-interface

interface Vlanxxx

ip unnumbered Loopback0

ip helper-address aaa.bbb.ccc.ddd

no ip redirects

no ip unreachables

ip local-proxy-arp

ip route-cache same-interface

no snmp trap link-status

 

Для блокировки отключенных используем vlan filter

Это работает для sup720-3b

 

PS: vlan filter блокирует межабонентский трафик отключенных и заблокированных.

Edited August 19, 2013 by NikAlexAn

[biox]

У нас большая часть сети vlan на дом, по номеру vlana не выдать никак.

[NikAlexAn]

darkagent очень популярная и очееень болезненная.

 

Как понимаю я вставлять опцию должен свич доступа, а циска должна просто перенаправить запрос и ответ и создать роут на себе.

В нашем случае киска вставляет номер влана, но может и свич доступа вставлять. Тогда киска не должна менять если есть.

[Negator]

Если используем vlan per user - логично настроить dhcp_relay + opt82 на центральной железке - т.е на киске.

Адрес выдавать по номеру влана, он приходит в 82 опции.

 

Если выдаем адрес на порт свича - то dhcp_relay +opt_82 должен быть настроен на каждом коммутаторе на доступе.

[adnull]

Так в этом и вопрос - если релеить на уровне свича доступа, то как киска узнает, что надо добавить маршрут на полученный ip в нужный влан?

[biox]

всё настраивается запуском скрипта.

Так что аргументов в пользу

настроить dhcp_relay + opt82 на центральной железке

не вижу, тем более, что у нас местами vlan на дом.

 

значит свичи доступа должны уметь вставлять информацию в запрос и слать его дальше.

Edited August 19, 2013 by biox

[darkagent]

Собсна в чем гемор: чтоб кошка рисовала маршрут на клиента (для ip unnumbered) она должна либо работать с dhcp snooping, либо уметь connected host polling (6500/7600 не умеет ни в каком виде ни в каком софте). если у вас dhcp сервер "сбоку" (т.е. не сама циска в роли сервера), то с первым вариантом начинаются сложности - при включенном dhcp snooping кошка начинает "портить" релай-пакеты от коммутаторов, вырезая что-нибудь из circuit-id (например номер влана, особенно этим грешат 3560/3750), причем в разных версиях софта правило policy keep вобще игнорировалось, порождая сотни тем на просторах интернета. Остается вешать dhcp trust на порту или allow untrusted глобально - в целом это вариант, но тогда всю секурность (ip source guard) прийдется сносить на уровень доступа. Как обстоят дела у 6500/7600 с dhcp snooping сейчас незнаю, мы перешли на connected host polling на базе 4900M.

[biox]

Вам проще по причине наличия connected host polling в 4900M.....

 

в случаи с Catalyst 6500 роуты создаются именно при прохождении dhcp запроса через "helper-address bla-bla-bla"

[h1vs2]

Используйте на длинках, которые доступа dhcp_local_relay.

l3 релей на циске, в котором ничего не делайте с пакетом, кроме релея и все будет хорошо. Роуты будут прописываться и тд. Но как сказали выше - функционалом ip source guard придется пожертвовать, что не беда, так как ваш доступ его нормально умеет. А вообще - переходите на влан Пер юзер

[biox]

h1vs2 спасибо за совет. Завтра опробую. В перспективе как раз поэтапный переход на влан пер юзер, но сейчас очень наболела opt82.......

[S.Sannikov]

Раз уж речь пошла про opt.82 и Cisco6500, вставлю свои 5коп.

Если "вдруг" захочется использовать на 65-й вместе PACL и opt.82, то к великому сожалению ничего не получится. Опция 82 не будет вставлятся в редиректнутый пакет запроса DHCP. Связано это с тем, что занимается opt.82 также ACL, а при установке PACL все остальные ACL IN игнорируются, включая VACL и IOS ACL.

 

Вот такие особенности реализации акцес-листов.

[biox]

да мне то собственно и не надо что бы каталист вставлял что то..... опцию добавляет коммутатор доступа (вернее должен добавлять)........

[biox]

h1vs2 не удержался.. попробовал удалённо и да. Действительно до dhcp стали долетать подробности вида

[size=2] radius_auth: Option 82 request from: ip=XX.XX.XX.XX vlan=444 port=1 client_mac=00:AA:BB:CC:YY:XX, remote▒▒g▒▒[/size]

где XX.XX.XX.XX адрес unnumbered интерфейса.

Edited August 21, 2013 by biox

[adnull]

Свич доступа -> релей на cisco -> dhcp сервер? При выдаче маршрут на cisco в 444 vlan добавляется автоматически?

[biox]

Да. только что проверил. Создаются автоматом. Завтра поглубже поковыряюсь и напишу результат.

[biox]

До DHCP сервера Opt82 теперь долетает и с d-link ов и с SNRов. Сервер шлёт ответ на ядро, а вот ядро упорно не доставляет ответ.

[T_Igor]

У нас работает 6500 кошка по такому механизму:

ip dhcp relay information option
no ip dhcp relay information check
ip dhcp relay information trust-all
!
no ip dhcp snooping verify mac-address
interface VlanXXX
ip dhcp relay information option subscriber-id XXX
ip unnumbered Loopback2
ip helper-address zzz.zzz.zzz.zzz
no ip redirects
no ip unreachables
no ip proxy-arp
ip local-proxy-arp
ip flow ingress
ip route-cache same-interface

смысл этого в том что строчкой "ip dhcp relay information option subscriber-id XXX" может вставлятся в опт82 любая информация, в нашем случае номер вилана.

DHCP-сервер должен уметь работать с этой "subscriber-id", т.е. в исходниках раскоментировать эту переменную и скомпилировать пакет снова.

На делинках все эти релеи нахер отключили, чтобы DHCP-сервер корректно работал.