biox Опубликовано 19 августа, 2013 (изменено) · Жалоба Прошу помощи в настройке связки из ip unnumbered, Option 82 и отдельно стоящего DHCP сервера (с поддержкой opt82). В сети используется схема vlan на абонента (иногда на дом или район, но с изоляцией портов) + влан управления, с ip unnumbered терминацией вланов на ядре cat. 6500, на клиентских vlan настроен helper-address В настоящий момент работает следующим образом: 1. Клиент шлёт dhcp запрос в своём клиентском влане. 2. Запрос прилетает на первый L3 хоп (ip unnumbered на ядре) 3. Ядро пересылает запрос на DHCP сервер в соответствии с настроенным helper-address 4. DHCP сервер шлёт ответ ядру 5. Ядро полчает ответ, передаёт его клиенту в его влане и создаёт на себе маршрут до клиента Есть непреодолимое желание возиметь всё то же самое, но с opt82, но пока что не выходит..... Для понимания будем считать что циска имеет SUP-720 3b, а доступ у меня построен на d-link des-3200, адреса выдаются на основании MAC адреса клиента, хочу выдавать на основании circuit/remote id. Изменено 19 августа, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 19 августа, 2013 · Жалоба DHCP сервер на каком основании выдает ip ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 (изменено) · Жалоба сервер заточен и по необходимости будет подтачиваться. Главный вопрос что настроить на доступе и на ядре. Изменено 19 августа, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 19 августа, 2013 · Жалоба какая популярная и в то же время болезненная тема :) http://www.google.com/search?q=ip+unnumbered+dhcp+helper+site:forum.nag.ru&safe=off&hs=GaP&channel=suggest&biw=2471&bih=1335 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 19 августа, 2013 (изменено) · Жалоба Ну а что мешает DHCP серверу выделять адреса в зависимости от содержимого agent circuit/remote id? У нас так и работает. PS: А какой sup на 6500? Изменено 19 августа, 2013 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 (изменено) · Жалоба Ну а что мешает DHCP серверу выделять адреса в зависимости от содержимого agent circuit/remote id? У нас так и работает. Всё верно. Наверное ничего не мешает, но для этого до dhcp сервера должны корректно дойти circuit/remote id. Так? SUP720 3B Изменено 19 августа, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 19 августа, 2013 · Жалоба Конечно. Релей на 6500 должен их выставлять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба darkagent очень популярная и очееень болезненная. Как понимаю я вставлять опцию должен свич доступа, а циска должна просто перенаправить запрос и ответ и создать роут на себе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 19 августа, 2013 (изменено) · Жалоба Всё верно. Наверное ничего не мешает, но для этого до dhcp сервера должны корректно дойти circuit/remote id. Так? SUP720 3B У нас только по номеру влана: ip dhcp relay information policy keep ip dhcp relay information trust-all ip dhcp snooping vlan xxx-yyy ip dhcp snooping vlan xxx-yyy interface Loopback0 ip address aa.bb.cc.1 255.255.224.0 no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface interface Vlanxxx ip unnumbered Loopback0 ip helper-address aaa.bbb.ccc.ddd no ip redirects no ip unreachables ip local-proxy-arp ip route-cache same-interface no snmp trap link-status Для блокировки отключенных используем vlan filter Это работает для sup720-3b PS: vlan filter блокирует межабонентский трафик отключенных и заблокированных. Изменено 19 августа, 2013 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба У нас большая часть сети vlan на дом, по номеру vlana не выдать никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 19 августа, 2013 · Жалоба darkagent очень популярная и очееень болезненная. Как понимаю я вставлять опцию должен свич доступа, а циска должна просто перенаправить запрос и ответ и создать роут на себе. В нашем случае киска вставляет номер влана, но может и свич доступа вставлять. Тогда киска не должна менять если есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 19 августа, 2013 · Жалоба Если используем vlan per user - логично настроить dhcp_relay + opt82 на центральной железке - т.е на киске. Адрес выдавать по номеру влана, он приходит в 82 опции. Если выдаем адрес на порт свича - то dhcp_relay +opt_82 должен быть настроен на каждом коммутаторе на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 19 августа, 2013 · Жалоба Так в этом и вопрос - если релеить на уровне свича доступа, то как киска узнает, что надо добавить маршрут на полученный ip в нужный влан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 (изменено) · Жалоба всё настраивается запуском скрипта. Так что аргументов в пользу настроить dhcp_relay + opt82 на центральной железке не вижу, тем более, что у нас местами vlan на дом. значит свичи доступа должны уметь вставлять информацию в запрос и слать его дальше. Изменено 19 августа, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 19 августа, 2013 · Жалоба Собсна в чем гемор: чтоб кошка рисовала маршрут на клиента (для ip unnumbered) она должна либо работать с dhcp snooping, либо уметь connected host polling (6500/7600 не умеет ни в каком виде ни в каком софте). если у вас dhcp сервер "сбоку" (т.е. не сама циска в роли сервера), то с первым вариантом начинаются сложности - при включенном dhcp snooping кошка начинает "портить" релай-пакеты от коммутаторов, вырезая что-нибудь из circuit-id (например номер влана, особенно этим грешат 3560/3750), причем в разных версиях софта правило policy keep вобще игнорировалось, порождая сотни тем на просторах интернета. Остается вешать dhcp trust на порту или allow untrusted глобально - в целом это вариант, но тогда всю секурность (ip source guard) прийдется сносить на уровень доступа. Как обстоят дела у 6500/7600 с dhcp snooping сейчас незнаю, мы перешли на connected host polling на базе 4900M. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба Вам проще по причине наличия connected host polling в 4900M..... в случаи с Catalyst 6500 роуты создаются именно при прохождении dhcp запроса через "helper-address bla-bla-bla" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 19 августа, 2013 · Жалоба Используйте на длинках, которые доступа dhcp_local_relay. l3 релей на циске, в котором ничего не делайте с пакетом, кроме релея и все будет хорошо. Роуты будут прописываться и тд. Но как сказали выше - функционалом ip source guard придется пожертвовать, что не беда, так как ваш доступ его нормально умеет. А вообще - переходите на влан Пер юзер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба h1vs2 спасибо за совет. Завтра опробую. В перспективе как раз поэтапный переход на влан пер юзер, но сейчас очень наболела opt82....... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S.Sannikov Опубликовано 19 августа, 2013 · Жалоба Раз уж речь пошла про opt.82 и Cisco6500, вставлю свои 5коп. Если "вдруг" захочется использовать на 65-й вместе PACL и opt.82, то к великому сожалению ничего не получится. Опция 82 не будет вставлятся в редиректнутый пакет запроса DHCP. Связано это с тем, что занимается opt.82 также ACL, а при установке PACL все остальные ACL IN игнорируются, включая VACL и IOS ACL. Вот такие особенности реализации акцес-листов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба да мне то собственно и не надо что бы каталист вставлял что то..... опцию добавляет коммутатор доступа (вернее должен добавлять)........ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 (изменено) · Жалоба h1vs2 не удержался.. попробовал удалённо и да. Действительно до dhcp стали долетать подробности вида [size=2] radius_auth: Option 82 request from: ip=XX.XX.XX.XX vlan=444 port=1 client_mac=00:AA:BB:CC:YY:XX, remote▒▒g▒▒[/size] где XX.XX.XX.XX адрес unnumbered интерфейса. Изменено 21 августа, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adnull Опубликовано 19 августа, 2013 · Жалоба Свич доступа -> релей на cisco -> dhcp сервер? При выдаче маршрут на cisco в 444 vlan добавляется автоматически? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 августа, 2013 · Жалоба Да. только что проверил. Создаются автоматом. Завтра поглубже поковыряюсь и напишу результат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 20 августа, 2013 · Жалоба До DHCP сервера Opt82 теперь долетает и с d-link ов и с SNRов. Сервер шлёт ответ на ядро, а вот ядро упорно не доставляет ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
T_Igor Опубликовано 20 августа, 2013 · Жалоба У нас работает 6500 кошка по такому механизму: ip dhcp relay information option no ip dhcp relay information check ip dhcp relay information trust-all ! no ip dhcp snooping verify mac-address interface VlanXXX ip dhcp relay information option subscriber-id XXX ip unnumbered Loopback2 ip helper-address zzz.zzz.zzz.zzz no ip redirects no ip unreachables no ip proxy-arp ip local-proxy-arp ip flow ingress ip route-cache same-interface смысл этого в том что строчкой "ip dhcp relay information option subscriber-id XXX" может вставлятся в опт82 любая информация, в нашем случае номер вилана. DHCP-сервер должен уметь работать с этой "subscriber-id", т.е. в исходниках раскоментировать эту переменную и скомпилировать пакет снова. На делинках все эти релеи нахер отключили, чтобы DHCP-сервер корректно работал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...