The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"dhcp option 82"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 30-Апр-09, 19:14 
хочу на уровне агрегации Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14  Supervisor III 1000BaseX (GBIC)        WS-X4014           JAB081104MQ
по порту(влану-если добавить на доступ свич с влан .1q) выдавать ип
если включаю просто релей, то комп получает ип без проблем
!
interface FastEthernet2/33
no switchport
ip address 10.10.10.1 255.255.255.0
ip helper-address 192.168.0.55
!
interface FastEthernet2/34
no switchport
ip address 192.168.0.222 255.255.255.0
!

конф дхцп
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.120 10.10.10.140;
option routers 10.10.10.1;
allow unknown-clients;
}

дебаг дхцп
Wrote 0 leases to leases file.
Listening on Socket/ed1/192.168.0/24
Sending on Socket/ed1/192.168.0/24
DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPREQUEST for 10.10.10.140 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPACK on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

а если включаю опт82 на циске
Switch#sh ip dh sn
Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)

с таким конфом дхцп
subnet 10.10.10.0 netmask 255.255.255.0 {
class "port-33" {
match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "33";
}
pool {
range 10.10.10.33 10.10.10.33;
allow members of "port-33";
}
}

то дебаг выдает
DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases

тоже самое если включаю еще на циске снупинг и
ip dhcp snooping information option allow-untrusted

не пойму в чем проблема или опт82 не вставляется на циске или
неправильно класс описал в дхцп или еще в чем-то

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • dhcp option 82, brr, 21:40 , 30-Апр-09, (1)  
    • dhcp option 82, sproot, 09:34 , 02-Май-09, (2)  
      • dhcp option 82, w0nders, 22:07 , 02-Май-09, (4)  
        • dhcp option 82, sproot, 04:01 , 03-Май-09, (5)  
          • dhcp option 82, w0nders, 13:56 , 03-Май-09, (8)  
  • dhcp option 82, sproot, 09:56 , 02-Май-09, (3)  
    • dhcp option 82, charliecharlie, 10:50 , 03-Май-09, (6)  
      • dhcp option 82, sproot, 12:38 , 03-Май-09, (7)  
        • dhcp option 82, charliecharlie, 20:52 , 03-Май-09, (9)  
          • dhcp option 82, sproot, 03:28 , 04-Май-09, (10)  
            • dhcp option 82, charliecharlie, 17:56 , 04-Май-09, (11)  
              • dhcp option 82, charliecharlie, 20:28 , 04-Май-09, (12)  
              • dhcp option 82, sproot, 02:20 , 05-Май-09, (13)  
                • dhcp option 82, charliecharlie, 13:53 , 05-Май-09, (14)  
                  • dhcp option 82, sproot, 14:45 , 05-Май-09, (15)  
                    • dhcp option 82, charliecharlie, 16:52 , 05-Май-09, (16)  
                      • dhcp option 82, sproot, 02:45 , 07-Май-09, (17)  
                        • dhcp option 82, charliecharlie, 14:32 , 07-Май-09, (18)  
                        • dhcp option 82, charliecharlie, 14:39 , 07-Май-09, (19)  
                        • dhcp option 82, sproot, 17:10 , 07-Май-09, (20)  
                        • dhcp option 82, charliecharlie, 19:23 , 07-Май-09, (21)  
                        • dhcp option 82, sproot, 01:24 , 08-Май-09, (22)  
                        • dhcp option 82, Elisium, 13:30 , 15-Май-09, (23)  

Сообщения по теме [Сортировка по времени | RSS]


1. "dhcp option 82"  +/
Сообщение от brr on 30-Апр-09, 21:40 
>[оверквотинг удален]
>
>то дебаг выдает
>DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases
>
>тоже самое если включаю еще на циске снупинг и
>ip dhcp snooping information option allow-untrusted
>
>не пойму в чем проблема или опт82 не вставляется на циске или
>
>неправильно класс описал в дхцп или еще в чем-то

не по теме, а что такое уровень агрегации (любопытно очень) ? что это за модель...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "dhcp option 82"  +/
Сообщение от sproot (ok) on 02-Май-09, 09:34 
>[оверквотинг удален]
>>
>>тоже самое если включаю еще на циске снупинг и
>>ip dhcp snooping information option allow-untrusted
>>
>>не пойму в чем проблема или опт82 не вставляется на циске или
>>
>>неправильно класс описал в дхцп или еще в чем-то
>
>не по теме, а что такое уровень агрегации (любопытно очень) ? что
>это за модель...

Трехуровневая модель от Циско: http://www.mcmcse.com/cisco/guides/hierarchical_model.shtml
Хотя, сейчас рулит четырехуровневая, добавился service specific level.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "dhcp option 82"  +/
Сообщение от w0nders (??) on 02-Май-09, 22:07 
>[оверквотинг удален]
>>>
>>>не пойму в чем проблема или опт82 не вставляется на циске или
>>>
>>>неправильно класс описал в дхцп или еще в чем-то
>>
>>не по теме, а что такое уровень агрегации (любопытно очень) ? что
>>это за модель...
>
>Трехуровневая модель от Циско: http://www.mcmcse.com/cisco/guides/hierarchical_model.shtml
>Хотя, сейчас рулит четырехуровневая, добавился service specific level.

хорошо, тогда Вам нужно прочесть мотериал, на который указывает ссылка (самостоятельно).
на мой взгляд слово "агрегация" может трактоваться кем-то по-разному, но к Cisco Three-Layered Hierarchical Model и Enterprice Composite Network Model - это неимеет никакого отношения.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "dhcp option 82"  +/
Сообщение от sproot (ok) on 03-Май-09, 04:01 
>[оверквотинг удален]
>>
>>Трехуровневая модель от Циско: http://www.mcmcse.com/cisco/guides/hierarchical_model.shtml
>>Хотя, сейчас рулит четырехуровневая, добавился service specific level.
>
>хорошо, тогда Вам нужно прочесть мотериал, на который указывает ссылка (самостоятельно).
>на мой взгляд слово "агрегация" может трактоваться кем-то по-разному, но к Cisco
>Three-Layered Hierarchical Model и Enterprice Composite Network Model - это неимеет
>никакого отношения.
>
>

Да, в чем-то Вы правы. Но, иногда, уровень распределения трактуется как уровень, который агрегирует уровень доступа(...The Distribution layer acts as an aggregation point for all the Access layer devices. (http://articles.techrepublic.com.com/5100-10878_11-5032795.html)).

А вот, с cisco.com:

Function of the Distribution Layer

The distribution layer of the network is the demarcation point between the access and core layers and helps to define and differentiate the core. The purpose of this layer is to provide boundary definition and is the place at which packet manipulation can take place. In the campus environment, the distribution layer can include several functions, such as the following:

•Address or area aggregation

•Departmental or workgroup access

•Broadcast/multicast domain definition

•Virtual LAN (VLAN) routing

•Any media transitions that need to occur

•Security

http://www.cisco.com/en/US/docs/internetworking/design/guide...

Как видно, слово "агрегация" все же имеет отношение к иерархическим моделям циско. С тем что оно может трактоваться по-разному я согласен. Но, тогда не проще ли спросить у "первоисточника", автора вопроса, что он имел в виду? :) Автор, Вам слово :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "dhcp option 82"  +/
Сообщение от w0nders (??) on 03-Май-09, 13:56 
>[оверквотинг удален]
>•Any media transitions that need to occur
>
>•Security
>
>http://www.cisco.com/en/US/docs/internetworking/design/guide...
>
>Как видно, слово "агрегация" все же имеет отношение к иерархическим моделям циско.
>С тем что оно может трактоваться по-разному я согласен. Но, тогда
>не проще ли спросить у "первоисточника", автора вопроса, что он имел
>в виду? :) Автор, Вам слово :)

Все верно, но название такого уровня нет, а в задачи уровня распределния входит как раз - aggregation point for all the Access layer devices, слово "агрегация" можно заменить например - обьединение, включение и тд...
Прошу прощения, за разведение небольшого офф-топика

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "dhcp option 82"  +/
Сообщение от sproot (ok) on 02-Май-09, 09:56 
>[оверквотинг удален]
>
>а если включаю опт82 на циске
>Switch#sh ip dh sn
>Switch DHCP snooping is disabled
>DHCP snooping is configured on following VLANs:
>none
>Insertion of option 82 is enabled
>Option 82 on untrusted port is not allowed
>Verification of hwaddr field is enabled
>Interface Trusted Rate limit (pps)

Почему снупинг не включаешь?

>[оверквотинг удален]
>
>то дебаг выдает
>DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases
>
>тоже самое если включаю еще на циске снупинг и
>ip dhcp snooping information option allow-untrusted
>
>не пойму в чем проблема или опт82 не вставляется на циске или
>
>неправильно класс описал в дхцп или еще в чем-то

У меня так:

на каталисте(dhcp relay)
ip dhcp snooping vlan 20
ip dhcp snooping information option format remote-id hostname
ip dhcp snooping

interface Vlan20
....
ip helper-address 172.25.25.14

sh ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
20
DHCP snooping is configured on the following Interfaces:

Insertion of option 82 is enabled
   circuit-id format: vlan-mod-port
    remote-id format: hostname
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
GigabitEthernet1/0/1         yes         unlimited
GigabitEthernet1/0/11        no          100
GigabitEthernet1/0/15        no          300
GigabitEthernet1/0/17        no          50
GigabitEthernet1/0/19        no          50
GigabitEthernet2/0/2         no          200
GigabitEthernet2/0/4         no          200
GigabitEthernet2/0/6         no          200
GigabitEthernet2/0/9         no          100


трастовый порт - это порт с которого "прилетает" ответ от dhcp сервера.

Дебаг включаем так:
deb ip dhcp snooping <mac-address>
или
deb ip dhcp snooping packet (для всех dhcp запросов)

На DHCP сервере:

class "ATS-XXX.XXX" {
    match if substring(option agent.remote-id, 2, 50) = "sw01.ats-xxx.xxx"
            and binary-to-ascii(16, 8, ":", packet(28, 3)) = "0:2:2"
            and option vendor-class-identifier = "Aminoaminet110fisys";
}

class "ANY" {
    match if not exists agent.circuit-id or not exists agent.remote-id;
}


shared-network AMINO-NET {
    subnet 172.25.25.0 netmask 255.255.255.224 {
                not authoritative;
    }

    subnet 10.230.31.0 netmask 255.255.255.0 {
         pool {
                range 10.230.31.2 10.230.31.253;
                allow members of "ATS-XXX.XXX";
                deny members of "ANY";
         }
         option routers 10.230.31.1;
         option subnet-mask 255.255.255.0;
         option broadcast-address 10.230.31.255;
    }
}

На стороне DHCP сервера, дебажим так:
tcpdump -i eth0 -nn -s 0 -v port 67 or port 68 | grep -B 50 -A 50 'Client-Ethernet-Address 00:02:02:18:82:70'                      


Вообще, сообщение вида 'DHCPDISCOVER ... no free leases' появляется в следующий случаях:
1. все ip из данной подсети выданы
2. не проходит match(скорее всего, твой случай)
3. не описана соответствующая подсеть(нет секции subnet. хотя не уверен...)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 03-Май-09, 10:50 
>Вообще, сообщение вида 'DHCPDISCOVER ... no free leases' появляется в следующий случаях:
>
>1. все ip из данной подсети выданы
>2. не проходит match(скорее всего, твой случай)
>3. не описана соответствующая подсеть(нет секции subnet. хотя не уверен...)

sproot спаибо за ответ

по порядку
1. если смотреть вышеприведенную ссылку по модели циско то я имею ввиду уровень дистрибуции
только я хочу использовать на дистрибуции Л3, а в ядре Л2
2. Ваш пример подходит для случая дистрибуция Л2, ядро Л3 (т.е. вы все вланы тяните в ядро)
3. Снупинг не включен только в этом примере, но я его включал, результат не меняется
4. по поводу no free leases у меня 2 идеи: или не проходит матч или все таки не вставляется опция 82

Вы можете показать живой дебаг дхцп сервера когда приходит запрос с опц82?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "dhcp option 82"  +/
Сообщение от sproot (ok) on 03-Май-09, 12:38 
>[оверквотинг удален]
>только я хочу использовать на дистрибуции Л3, а в ядре Л2
>2. Ваш пример подходит для случая дистрибуция Л2, ядро Л3 (т.е. вы
>все вланы тяните в ядро)
>3. Снупинг не включен только в этом примере, но я его включал,
>результат не меняется
>4. по поводу no free leases у меня 2 идеи: или не
>проходит матч или все таки не вставляется опция 82
>
>Вы можете показать живой дебаг дхцп сервера когда приходит запрос с опц82?
>

....

May  3 00:16:37 bs03 dhcpd: DHCPDISCOVER from 00:02:02:15:6d:d8 via 10.230.108.1
May  3 00:16:38 bs03 dhcpd: DHCPOFFER on 10.230.108.42 to 00:02:02:15:6d:d8 via 10.230.108.1
May  3 00:16:38 bs03 dhcpd: DHCPREQUEST for 10.230.108.42 (172.25.25.14) from 00:02:02:15:6d:d8 via 10.230.108.1
May  3 00:16:38 bs03 dhcpd: DHCPACK on 10.230.108.42 to 00:02:02:15:6d:d8 via 10.230.108.1
May  3 00:16:38 bs03 dhcpd: DHCPREQUEST for 10.230.108.42 from 00:02:02:15:6d:d8 via eth0
May  3 00:16:38 bs03 dhcpd: DHCPACK on 10.230.108.42 to 00:02:02:15:6d:d8 via eth0
May  3 00:16:43 bs03 dhcpd: DHCPREQUEST for 10.230.108.42 from 00:02:02:15:6d:d8 via eth0
May  3 00:16:43 bs03 dhcpd: DHCPACK on 10.230.108.42 to 00:02:02:15:6d:d8 via eth0
May  3 00:16:51 bs03 dhcpd: DHCPREQUEST for 10.230.108.42 from 00:02:02:15:6d:d8 via eth0

....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 03-Май-09, 20:52 
>May  3 00:16:37 bs03 dhcpd: DHCPDISCOVER from 00:02:02:15:6d:d8 via 10.230.108.1
>May  3 00:16:38 bs03 dhcpd: DHCPOFFER on 10.230.108.42 to 00:02:02:15:6d:d8 via
>10.230.108.1
>May  3 00:16:38 bs03 dhcpd: DHCPREQUEST for 10.230.108.42 (172.25.25.14) from 00:02:02:15:6d:d8
>via 10.230.108.1
>May  3 00:16:38 bs03 dhcpd: DHCPACK on 10.230.108.42 to 00:02:02:15:6d:d8 via
>10.230.108.1

дебаг дхцп с и без опции82 не отличается, у меня такой же без опции82

опытным путем вычислил что не проходит матч

скажите а как вы разбирали формат опции82, и вычислили что у вашего каталиста именно такой матч?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "dhcp option 82"  +/
Сообщение от sproot (ok) on 04-Май-09, 03:28 
>[оверквотинг удален]
>>May  3 00:16:38 bs03 dhcpd: DHCPACK on 10.230.108.42 to 00:02:02:15:6d:d8 via
>>10.230.108.1
>
>дебаг дхцп с и без опции82 не отличается, у меня такой же
>без опции82
>
>опытным путем вычислил что не проходит матч
>
>скажите а как вы разбирали формат опции82, и вычислили что у вашего
>каталиста именно такой матч?

смотрел tcpdump-ом(пример см. выше). Странно, что без опции 82 лог у тебя такой же. В принципе, "via <ip> " говорит о том что запрос пришел с dhcp relay. Смотрю исходник server/dhcp.c:

....

    snprintf (msgbuf, sizeof msgbuf, "DHCPDISCOVER from %s %s%s%svia %s",
         (packet -> raw -> htype
          ? print_hw_addr (packet -> raw -> htype,
                   packet -> raw -> hlen,
                   packet -> raw -> chaddr)
          : (lease
             ? print_hex_1(lease->uid_len, lease->uid, 60)
             : "<no identifier>")),
          s ? "(" : "", s ? s : "", s ? ") " : "",
          packet -> raw -> giaddr.s_addr
          ? inet_ntoa (packet -> raw -> giaddr)
          : packet -> interface -> name);

....

Поле giaddr заполняется dhcp агентом, если оно не пустое, то в логе ты увидишь "via <ip>". В противном случае, если пакет пришел с ethernet сегмента, в котором сидит dhcp сервер, тогда будет "via <if_name>".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 04-Май-09, 17:56 
>смотрел tcpdump-ом(пример см. выше). Странно, что без опции 82 лог у тебя такой же. В принципе, "via <ip> " говорит о том что запрос пришел с dhcp relay. Смотрю исходник server/dhcp.c:
>

а покажи свой пример тспдампа (правда у меня не линух а фрибсд, может ключи отличаются)

потому что в моем я ниче не вижу

ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68
tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:56:58.206615 IP (tos 0x0, ttl 255, id 6, offset 0, flags [none], proto: UDP (17), length: 328) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 300, hops:1, xid:0x97f0597e, secs:2816, flags: [Broadcast]
          Gateway IP: 10.10.10.1
          Client Ethernet Address: 00:11:2f:80:6b:37
          Vendor-rfc1048:
            DHCP:DISCOVER
            NOAUTO:Y
            CID:[ether]00:11:2f:80:6b:37
            HN:"philka"
            VC:"MSFT 5.0"
            PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 04-Май-09, 20:28 
все-таки не вставлялась опция 82
перевел каталист на Л2 и сразу увидел опцию 82
и тсп-дампом и дебагом
Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 0.0.0.0 VLAN: 1 MAC on the port: 0:11:2f:80:6b:37
DHCPDISCOVER from 00:11:2f:80:6b:37 via ed1

теперь надо разбираться почему в режиме Л3 опция не вставляется

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "dhcp option 82"  +/
Сообщение от sproot (ok) on 05-Май-09, 02:20 
>[оверквотинг удален]
>            
>NOAUTO:Y
>            
>CID:[ether]00:11:2f:80:6b:37
>            
>HN:"philka"
>            
>VC:"MSFT 5.0"
>            
>PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO

08:50:59.167730 IP (tos 0x0, ttl  59, id 2635, offset 0, flags [none], proto: UDP (17), length: 379) 10.230.84.10.68 > 172.25.25.14.67: BOOTP/DHCP, Request from 00:02:02:1c:ee:06, length 351, xid 0x5cd0cc76, secs 10, Flags [ none ]
          Client-IP 10.230.84.10
          Client-Ethernet-Address 00:02:02:1c:ee:06
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Request
            MSZ Option 57, length 2: 548
            Lease-Time Option 51, length 4: 3601
            Parameter-Request Option 55, length 15:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Hostname
              Domain-Name, RP, TTL, BR
              MD, Router-Discovery, Static-Route, YD
              YS, NTP, Vendor-Option
            Vendor-Option Option 43, length 18: 3.9.97.109.105.110.101.116.49.49.48.4.5.102.105.115.121.115
            Vendor-Class Option 60, length 19: "Aminoaminet110fisys"
            Client-ID Option 61, length 7: ether 00:02:02:1c:ee:06
            Agent-Information Option 82, length 28:
              Circuit-ID SubOption 1, length 6: \000\004\000\012\001\007
              Unknown SubOption 2, length 18:
                0x0000:  0110 7377 3031 2e61 XXXX XXXX XXXX XXXX
                0x0010:  XXXX


покажи полный вывод show ip dhcp snooping, в том варианте когда опция не выставляется.

P.S.
есть подозрение, что нет команды ip dhcp snooping trust на интерфейсе. На "чистом" рутере dhcp релей я настраивал так:

ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all

interface GigabitEthernet0/2.12
...
encapsulation dot1Q 12
ip dhcp relay information trusted
ip helper-address 10.0.0.107
...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 05-Май-09, 13:53 
>покажи полный вывод show ip dhcp snooping, в том варианте когда опция
>не выставляется.

Switch#sh ip dh sn
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
Switch#

>P.S.
>есть подозрение, что нет команды ip dhcp snooping trust на интерфейсе.

команду траст на Л3 интерф вообще невозмонжо сделать, есть токо релей
Switch(config)#interface fa 2/34
Switch(config-if)#ip dhcp ?
  relay  DHCP relay configuration parameters
Switch(config-if)#

>[оверквотинг удален]
>ip dhcp relay information option
>ip dhcp relay information policy keep
>ip dhcp relay information trust-all
>
>interface GigabitEthernet0/2.12
>...
> encapsulation dot1Q 12
> ip dhcp relay information trusted
> ip helper-address 10.0.0.107
>...

эти команды похоже просто пропускают дхцп-пакет с опцией 82 (если она на более низком уровне вставлена)
как релей все работает, получаю адрес из диапазона, но если хочу выдать ип по опции82, не получается, опция 82 не вставляется

а вот если через SVI интерфейс настраиваю, то все работает
дебаг циски
00:23:08: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet2/27)
00:23:08: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER, input interface: Fa2/27, MAC da: ffff.fff.ffff, MAC sa: 0011.2f80.6b37, IP da: 255.255.255.255, IP sa: 0.0.0.0, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 0.0.0.0, HCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 0011.2f80.6b37
00:23:08: DHCP_SNOOPING_SW: lookup packet destination port failed to retrieve source interface idb, mac: 0011.2f80.6b7, mat entry type: 1, port cookie: 418543312
00:23:08: DHCP_SNOOPING: add relay information option.
00:23:08: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
00:23:08: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x2 0x2 0x1B 0x2 0x8 0x0 0x6 0x0 0x8 0xA3 0x69 0x22 0x0
00:23:08: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: ()
00:23:08: DHCP_SNOOPING_SW: bridge packet send packet to cpu port: Vlan2.
00:23:09: Intercept routed DHCP Snooping packet from interface: Vl2

тспдамп
ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68
tcpdump: listening on ed1, link-type EN10MB (Ethernet), capture size 65535 bytes
13:59:47.026444 IP (tos 0x0, ttl 255, id 23, offset 0, flags [none], proto: UDP (17), length: 335) 10.10.10.1.67 > 192.168.0.55.67: BOOTP/DHCP, Request from 00:11:2f:80:6b:37, length: 307, hops:1, xid:0x8cec0734, flags: [Broadcast]
          Gateway IP: 10.10.10.1
          Client Ethernet Address: 00:11:2f:80:6b:37
          Vendor-rfc1048:
            DHCP:DISCOVER
            NOAUTO:Y
            CID:[ether]00:11:2f:80:6b:37
            HN:"philka"
            VC:"MSFT 5.0"
            PR:SM+DN+DG+NS+WNS+WNT+WSC+RD+SR+T249+VO
            ACKT:1.6.0.4.0.2.2.27.2.8.0.6.0.8.163.105.34.0

дебаг дхцп
Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37
DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP: 10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37
DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "dhcp option 82"  +/
Сообщение от sproot (ok) on 05-Май-09, 14:45 
>[оверквотинг удален]
>
>дебаг дхцп
> Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP:
>10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37
>DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
>DHCPOFFER on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
> Lease for 10.10.10.27 Swith port: 2/27 Switch MAC: 0:6:0:8:a3:69:22:0 Switch IP:
>10.10.10.1 VLAN: 2 MAC on the port: 0:11:2f:80:6b:37
>DHCPREQUEST for 10.10.10.27 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
>DHCPACK on 10.10.10.27 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1

Да, я сейчас начинаю что-то такое припоминать..Было это еще в прошлом году, когда я настраивать dhcp relay agent для MPLS IP VPN. Наступал на эти же грабли. :) А попробуй-ка ввести вот эту хрень:

ip dhcp relay information option
ip dhcp relay information policy replace
ip dhcp relay information trust-all

ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping information option allowed-untrusted

ну, и ip helper-address <ip> на ближайшем L3 интерфейсе к dhcp клиенту.

Это открывает все и вся для опции82.

Скажи, какие команды у тебя есть после ip dhcp relay information option? Какая версия IOS?
Чем SVI не устраивает? Вроде как по cisco-идеологии, Opt82 должны выставлять свичи на Access Level.


P.S.
есть подозрение что Opt82 выставляется только на свичах на SVI..
http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/gui...
http://www.cisco.com/en/US/docs/routers/7600/ios/12.2SR/conf...

Хотя, может быть в новых IOS добавили фич по части dhcp relay


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 05-Май-09, 16:52 
>ip dhcp relay information option
>ip dhcp relay information policy replace
>ip dhcp relay information trust-all
>ip dhcp snooping
>ip dhcp snooping information option
>ip dhcp snooping information option allowed-untrusted
>ну, и ip helper-address <ip> на ближайшем L3 интерфейсе к dhcp клиенту.
>Это открывает все и вся для опции82.

результата не дало

>Скажи, какие команды у тебя есть после ip dhcp relay information option?

Switch(config)#ip dhcp relay information ?
  check      Validate relay information in BOOTREPLY
  policy     Define reforwarding policy
  trust-all  Received DHCP packets may contain relay info option with zero giaddr
Switch(config)#
Switch(config)#interface fa 2/27 Л3
Switch(config-if)#ip dhcp relay information ?
  trusted  Received DHCP packet may contain relay info option with zero giaddr
Switch(config-if)#
Switch(config)#interface fastEthernet 2/30 Л2
Switch(config-if)#ip dhcp snooping ?
  limit  DHCP Snooping limit
  trust  DHCP Snooping trust config
Switch(config-if)#

>Какая версия IOS?

Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14
>Чем SVI не устраивает?

может я чего-то не понимаю, но я не знаю как можно терминировать вланы со свича доступа на SVI

посмотри здесь http://forum.nag.ru/forum/index.php?showtopic=48681
я выложил полные логи и версию ИОС и зачем мне это надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "dhcp option 82"  +/
Сообщение от sproot (ok) on 07-Май-09, 02:45 
>>ip dhcp relay information option
>>ip dhcp relay information policy replace
>>ip dhcp relay information trust-all
>>ip dhcp snooping
>>ip dhcp snooping information option
>>ip dhcp snooping information option allowed-untrusted
>>ну, и ip helper-address <ip> на ближайшем L3 интерфейсе к dhcp клиенту.
>>Это открывает все и вся для опции82.
>
>результата не дало

не удивлен..

>[оверквотинг удален]
>  trust  DHCP Snooping trust config
>Switch(config-if)#
>
>>Какая версия IOS?
>
>Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14
>>Чем SVI не устраивает?
>
>может я чего-то не понимаю, но я не знаю как можно терминировать
>вланы со свича доступа на SVI

а зачем их терминировать когда есть SVI и запущен роутинг(ip routing)?

>посмотри здесь http://forum.nag.ru/forum/index.php?showtopic=48681
>я выложил полные логи и версию ИОС и зачем мне это надо
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 07-Май-09, 14:32 
>>>Чем SVI не устраивает?

тем что кол-во СВИ ограничено, а когда каждый юзер в отдельном влане неудобно
будет каждому юзеру свою подсеть создавать
>
>а зачем их терминировать когда есть SVI и запущен роутинг(ip routing)?

а если я терминирую на Л3 интерфейсе, то создаю одну подсеть на много вланов, юзеров

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 07-Май-09, 14:39 
эту проблему можно решить с помощью IP Unnumbered for VLAN-SVI interfaces
но на своей 4006 я его не могу поднять
Switch(config)#int loopback 1
Switch(config-if)#ip address 10.10.10.0 255.255.0.0
Switch(config-if)#no ip redirects
Switch(config-if)#exit
Switch(config)#interface vlan 11
Switch(config-if)#ip unnumbered Loopback 1
Point-to-point (non-multi-access) interfaces only
Switch(config-if)#

команды есть, но или я что-то не так делаю,
либо они просто не поддерживаются

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "dhcp option 82"  +/
Сообщение от sproot (ok) on 07-Май-09, 17:10 
>>>Чем SVI не устраивает?
>тем что кол-во СВИ ограничено, а когда каждый юзер в отдельном влане неудобно
>будет каждому юзеру свою подсеть создавать

Ограничено, на 4500 можно 1000 создать, а на 4006 не в курсе..Думаю, что значительно меньше.

Ну, а если бы они в одном вилане сидели бы, как выдавать подсети, по номеру порта?

>
>а зачем их терминировать когда есть SVI и запущен роутинг(ip routing)?
>а если я терминирую на Л3 интерфейсе, то создаю одну подсеть на много вланов, юзеров

"..одну подсеть на много вланов..". Это как? если, не секрет. Через IP Unnumbered?

>[оверквотинг удален]
>Switch(config-if)#ip address 10.10.10.0 255.255.0.0
>Switch(config-if)#no ip redirects
>Switch(config-if)#exit
>Switch(config)#interface vlan 11
>Switch(config-if)#ip unnumbered Loopback 1
>Point-to-point (non-multi-access) interfaces only
>Switch(config-if)#
>
>команды есть, но или я что-то не так делаю,
>либо они просто не поддерживаются

не поддерживается

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "dhcp option 82"  +/
Сообщение от charliecharlie (ok) on 07-Май-09, 19:23 
>Ну, а если бы они в одном вилане сидели бы, как выдавать
>подсети, по номеру порта?

зачем в одном вилане, пускай в разных сидят
на лупбек вешаем сеть например 10,10,0,0/16
а на каждом вилане прописываем ип-аннамберед на лупбек
>
>>а если я терминирую на Л3 интерфейсе, то создаю одну подсеть на много вланов, юзеров
>"..одну подсеть на много вланов..". Это как? если, не секрет. Через IP Unnumbered?

на порт агрегации в режиме Л3 вешаю сеть 10,10,10,0/24, от него на свич доступа аплинк
а на свиче доступа уже раздаем виланы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "dhcp option 82"  +/
Сообщение от sproot (ok) on 08-Май-09, 01:24 
>[оверквотинг удален]
>зачем в одном вилане, пускай в разных сидят
>на лупбек вешаем сеть например 10,10,0,0/16
>а на каждом вилане прописываем ип-аннамберед на лупбек
>>
>>>а если я терминирую на Л3 интерфейсе, то создаю одну подсеть на много вланов, юзеров
>>"..одну подсеть на много вланов..". Это как? если, не секрет. Через IP Unnumbered?
>
>на порт агрегации в режиме Л3 вешаю сеть 10,10,10,0/24, от него на
>свич доступа аплинк
>а на свиче доступа уже раздаем виланы

Понятно. Ну, тогда я незнаю как сделать чтобы было без SVI и с опцией 82. Если найдешь решение, маякни.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "dhcp option 82"  +/
Сообщение от Elisium on 15-Май-09, 13:30 
>Понятно. Ну, тогда я незнаю как сделать чтобы было без SVI и
>с опцией 82. Если найдешь решение, маякни.

http://forum.nag.ru/forum/index.php?showtopic=48798

Там решают подобный вопрос, хоть и тема по другому называется ...
п.с. и он решен ... правда, финальный конфиг не приведен ... :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру