[m9ic]

День добрый. Пытаюсь настроить авторизацию по opt 82, но что-то не выходит каменный цветок...

В общем имеется схема:

ядро(cisco 3550-12g) - агрегация (snr-2970g-48s) - доступ (snr-2950)

в ядро подключен d-link dgs-3100, в который в свою очередь воткнут аплинк, биллинг (172.16.255.3), писюк с микротиком ну и всякое служебное добро.

Сейчас в качестве dhcp сервера работает микротик (172.16.255.2), раздает серые адреса клиентам без каких либо привязок, выход в интернет посредством pptp.

На 3550 настроен ip unnumbered и dhcp relay на микротик, вот кусок конфига:

!
no aaa new-model
clock timezone VLAT 11
ip subnet-zero
ip routing
ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface Vlan500
ip address 172.16.255.1 255.255.255.0
!

interface Loopback1
ip address 172.16.8.1 255.255.248.0
no ip redirects
!
interface Loopback2
ip address 212.122.x.y 255.255.255.0
no ip redirects
!
interface Vlan588
ip unnumbered Loopback1
ip helper-address 172.16.255.2
!
interface Vlan700
ip unnumbered Loopback2
ip helper-address 172.16.255.3
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.255.2

Захотелось раздавать белые адреса с dhcp сервера биллинга по opt 82. Воткнул вторую сетевуху в биллинг, настроил dhcp сервер, создал абонента в биллинге, в общем, если не вдаваться в подробности, в билинг воткнул snr-2950, в snr тестовый комп - все взлетело. Решил попробовать на живую :)

Для этого сконфигурил Loopback 2 и Vlan700, свич доступа подключил к агрегации и понеслось...

В логах dhcp все ровно:

DEFAULT PARS_SNR2950:: Lease for 212.122.x.z SWIP=172.16.200.51 VLAN=700 PORT=1
DHCPDISCOVER from 00:19:66:f4:ea:08 (work) via 212.122.x.y
DHCPOFFER on 212.122.x.z to 00:19:66:f4:ea:08 (work) via 212.122.x.y

Опция парсится - адреса отдаются, только вот до клиента они не долетают.

В дебаге на свиче доступа только dhcp discover и больше ничего. Конфигурация не хитрая:

ip dhcp snooping enable
ip dhcp snooping vlan 700
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
ip dhcp snooping information option allow-untrusted
ip dhcp snooping information option remote-id 172.16.200.51
ip dhcp snooping information option self-defined subscriber-id vlan port
!
vlan 1;700
!
vlan 10
name switch
!
Interface Ethernet1/1
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/2
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/3
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/25
media-type copper
switchport mode trunk
switchport trunk allowed vlan 10;700
ip dhcp snooping trust
!
Interface Ethernet1/26
!
interface Vlan10
ip address 172.16.200.51 255.255.255.0
!
ip default-gateway 172.16.200.1
!
no login
!
!
end

 

Нашел похожую проблему, но автор к сожалению её или не решил, или не поделился решением.

http://forum.nag.ru/forum/index.php?showtopic=73537

Еще нагуглил про криво собранный ics dhcp, но эт я так полагаю не про меня, без промежуточного оборудования все отдается нормально

[NikAlexAn]

А DHCP сервер знает как добраться до 212.122.x.y ?

[m9ic]

На микротике эта белая сеть смаршрутизированна на vlan500. С биллинга(dhcp), пингуется все, что может пинговаться, 212.122.x.y в том числе.

[m9ic]

Встал сегодня со свежей головой, включил tcpdump на dhcp и увидел, что запросы прилетают на один интерфейс, а улетают с другого, это наверно была проблема № раз.

Настроил релей на доступе, вырубил на циске - все заработало, ситуация стала проясняться.В общем помогло глобальное отключение check

no ip dhcp relay information check

После чего вернул релей на 3550.