Jump to content
Калькуляторы

cisco 3550 dhcp relay + snr-2950

День добрый. Пытаюсь настроить авторизацию по opt 82, но что-то не выходит каменный цветок...

В общем имеется схема:

ядро(cisco 3550-12g) - агрегация (snr-2970g-48s) - доступ (snr-2950)

в ядро подключен d-link dgs-3100, в который в свою очередь воткнут аплинк, биллинг (172.16.255.3), писюк с микротиком ну и всякое служебное добро.

Сейчас в качестве dhcp сервера работает микротик (172.16.255.2), раздает серые адреса клиентам без каких либо привязок, выход в интернет посредством pptp.

На 3550 настроен ip unnumbered и dhcp relay на микротик, вот кусок конфига:

!
no aaa new-model
clock timezone VLAT 11
ip subnet-zero
ip routing
ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface Vlan500
ip address 172.16.255.1 255.255.255.0
!

interface Loopback1
ip address 172.16.8.1 255.255.248.0
no ip redirects
!
interface Loopback2
ip address 212.122.x.y 255.255.255.0
no ip redirects
!
interface Vlan588
ip unnumbered Loopback1
ip helper-address 172.16.255.2
!
interface Vlan700
ip unnumbered Loopback2
ip helper-address 172.16.255.3
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.255.2

Захотелось раздавать белые адреса с dhcp сервера биллинга по opt 82. Воткнул вторую сетевуху в биллинг, настроил dhcp сервер, создал абонента в биллинге, в общем, если не вдаваться в подробности, в билинг воткнул snr-2950, в snr тестовый комп - все взлетело. Решил попробовать на живую :)

Для этого сконфигурил Loopback 2 и Vlan700, свич доступа подключил к агрегации и понеслось...

В логах dhcp все ровно:

DEFAULT PARS_SNR2950:: Lease for 212.122.x.z SWIP=172.16.200.51 VLAN=700 PORT=1
DHCPDISCOVER from 00:19:66:f4:ea:08 (work) via 212.122.x.y
DHCPOFFER on 212.122.x.z to 00:19:66:f4:ea:08 (work) via 212.122.x.y

Опция парсится - адреса отдаются, только вот до клиента они не долетают.

В дебаге на свиче доступа только dhcp discover и больше ничего. Конфигурация не хитрая:

ip dhcp snooping enable
ip dhcp snooping vlan 700
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
ip dhcp snooping information option allow-untrusted
ip dhcp snooping information option remote-id 172.16.200.51
ip dhcp snooping information option self-defined subscriber-id vlan port
!
vlan 1;700
!
vlan 10
name switch
!
Interface Ethernet1/1
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/2
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/3
switchport access vlan 700
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 10
!
Interface Ethernet1/25
media-type copper
switchport mode trunk
switchport trunk allowed vlan 10;700
ip dhcp snooping trust
!
Interface Ethernet1/26
!
interface Vlan10
ip address 172.16.200.51 255.255.255.0
!
ip default-gateway 172.16.200.1
!
no login
!
!
end

 

Нашел похожую проблему, но автор к сожалению её или не решил, или не поделился решением.

http://forum.nag.ru/forum/index.php?showtopic=73537

Еще нагуглил про криво собранный ics dhcp, но эт я так полагаю не про меня, без промежуточного оборудования все отдается нормально

Share this post


Link to post
Share on other sites

На микротике эта белая сеть смаршрутизированна на vlan500. С биллинга(dhcp), пингуется все, что может пинговаться, 212.122.x.y в том числе.

Share this post


Link to post
Share on other sites

Встал сегодня со свежей головой, включил tcpdump на dhcp и увидел, что запросы прилетают на один интерфейс, а улетают с другого, это наверно была проблема № раз.

Настроил релей на доступе, вырубил на циске - все заработало, ситуация стала проясняться.В общем помогло глобальное отключение check

no ip dhcp relay information check

После чего вернул релей на 3550.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this