The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DHCP: Постоянный IP в зависимоcти от интерфейса."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 10-Фев-09, 13:21 
Приветствую!
Вопрос такой:
Есть Cisco 3662, за ним Catalyst sw-2950, есть сеть типа 192.168.166.0/24
нужно любому PC включенному в порт sw-2950 выдавать по dhcp конкретный адрес в зависимости от интерфейса, типа:
включился на FastEthernet 0/5 - выдать 192.168.166.5 (всегда), ну и для остальных соответственно.
На 3662 все интерфейсы "проброшены", все unnambered от Loo0 - 192.168.166.1
MAC подключенного PC не известен, может быть любой.

Пишу:
ip dhcp excluded-address 192.168.166.1
!
ip dhcp pool TEST
   network 192.168.166.0 255.255.255.0
   netbios-node-type h-node
   default-router 192.168.166.1
   class TEST1
      address range 192.168.166.2 192.168.166.2
   class TEST2
      address range 192.168.166.3 192.168.166.3
------
   class TEST22
      address range 192.168.166.22 192.168.166.22
!
ip dhcp class TEST1
   relay agent information
      relay-information hex 001120c8d482*
!
ip dhcp class TEST2
   relay agent information
      relay-information hex 001120c8d483*
------
ip dhcp class TEST22
   relay agent information
      relay-information hex 001120c8d496*

В итоге
DHCPD: DHCPDISCOVER received from client 0100.a0cc.cad7.68 on interface FastEthernet0/1.2
DHCPD: input does not contain option 82

Что нужно сказать на Catalyst'е дабы всё заработало?
Благодарю.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от RDD on 10-Фев-09, 13:46 
Вообще как привязать ip к интерфейсу не подскажу. Обычно привязывают ip к мас и делают это на dhcp сервере. Я так понимаю задача в том, чтоб что попало не подключали на рабочих местах, за исключением того оборудования которое подключено.
На 2960 можно ограничить количество мас адресов приходящих с порта.
Что то примерно так

interface FastEthernet0/1
description -= User Interface =-
switchport access vlan 999
switchport mode access
switchport port-security maximum 1
switchport port-security violation restrict
ip dhcp snooping limit rate 50

И для всего комутатора восстановление включить
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause arp-inspection
errdisable recovery interval 30

в дальнейшем блокированые порты смотреть командой
sh interfaces status err-disabled

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 10-Фев-09, 18:10 
В том то всё и дело, что нужно IP к порту привязать,
подключать "что попало" можно и нужно, только flow снимать с интерфейса и счёт выставлять :)
В принципе это нужно заставить работать на связке 2811 и 3xsw-2960 каскадом.
пока экспериментирую на 3662 и sw-2950.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от инкогникто email on 11-Фев-09, 21:58 
А если каждый порт в отдельный влан, со своей подсетью?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от mario23 email on 12-Фев-09, 01:50 
>А если каждый порт в отдельный влан, со своей подсетью?

я так понял вас интересует безопасность !?
так вот используйте АЦЛ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 12-Фев-09, 02:23 
>>А если каждый порт в отдельный влан, со своей подсетью?
>
>я так понял вас интересует безопасность !?
>так вот используйте АЦЛ

Да нет, безопасность не интересует.
Интересует:
Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо известно в какую, соответственно известен Catalyst и порт)) и делает трафик. Вот с него денюжку получить и надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от trianon (??) on 13-Фев-09, 11:10 
>>>А если каждый порт в отдельный влан, со своей подсетью?
>>
>>я так понял вас интересует безопасность !?
>>так вот используйте АЦЛ
>
>Да нет, безопасность не интересует.
>Интересует:
>Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо
>известно в какую, соответственно известен Catalyst и порт)) и делает трафик.
>Вот с него денюжку получить и надо.

Вы и внутрисетевой трафик хотите считать или только проходящий через 2811?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 12-Фев-09, 02:20 
>А если каждый порт в отдельный влан, со своей подсетью?

Порты каждый в своём влане, такое есть.
А вот что имеется ввиду про подсети?
Не хочется отдавать FA's на 3662 IP-адреса, всвязи с этим есть Loopback0, и от него аннамберед.

В принципе flow можно снимать с Catalyst, но так то интереснее! :)
Подскажите, может ещё чего пропустил.
Благодарю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Alex (??) on 12-Фев-09, 06:36 
Смотри в сторону IP source guard
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 13-Фев-09, 10:09 
>Смотри в сторону IP source guard

Насколько я понял на платформе 2900 сие не реализовано.
Похоже очень "тупая" платформа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "DHCP: Постоянный IP в зависимоcти от интерфейса."  
Сообщение от Vadim F. on 14-Фев-09, 13:44 
>>Смотри в сторону IP source guard
>
>Насколько я понял на платформе 2900 сие не реализовано.
>Похоже очень "тупая" платформа.

"Переехал" на др. sw-2950, "поумнее" оказался, snooping понимает.
А я вот что-то никак не пойму, чего он от меня хочет.

Пишу на sw-2950:
ip dhcp snooping
ip dhcp snooping vlan 17-19 (три порта в которые "втыкаю" PC, на 3662 соответственно клаcсы повесил на FE0/1.17 - FA0/1.19)

Получаю на sw-2950:
5981856: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/19)
5981857: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5981858: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: add relay information option.
5981859: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5981860: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x13 0x0 0x12 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xAs run
5981861: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (19)
5981862: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet output port set is null, packet is dropped.

на транковый порт FA0/1 в сторону 3662 ставлю:
ip dhcp snooping snooping trust

debug выдаёт:
5980860: Feb 14 16:49:58.725 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/18)
5980861: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5980862: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: add relay information option.
5980863: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5980864: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x12 0x0 0x11 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xA 0x80
5980865: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (18)
5980866: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/1.

Ни в первом, ни во втором случае на 3662 в дебаге ничего не появляется.
Если установить FA0/19 в ip dhcp snooping snooping trust
ситуация похожа, но без binary dump of relay info option, length: 20 data

Куда теперь смотреть???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру