 DHCP c локального secondary интерфейса ,  tolyanich139, 01-Апр-14, 12:51 [смотреть все]Доброго дня!
Прошу помощи, кто может подсказать, почему не выдаются ip по dhcp.
На интерфейсе висит две сети 192.168.70.0 и 192.168.71.0, как secondary.
Интернет на обоих работает, если вбивать ip руками в компы.
Создаю пул dhcp c network 192.168.71.0 255.255.255.0 и default-router 192.168.71.1, но ip оттуда не выдаются, да, служба service dhpc включена. Выдается ip из dhcp только если повесить туда сетку 192.168.70.0/24, но т.к. она почти вся занята, хочется перейти на свободную 192.168.71.0/24.
DHCP висит на каталисте3560, а роутер у нас 3825.-------
Конфиг интерфейса и acl роутера3825: interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.10.95 91.197.10.96 netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255
-------- Конфиг свитча3560, на котором висит сам DHCP и не раздает ипы: ip subnet-zero
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
network 192.168.71.0 255.255.255.0
default-router 192.168.71.1
dns-server 91.197.1.1
domain-name dhcp.xxxx
!
access-list 2 permit 82.198.164.22
access-list 2 deny any |
- DHCP c локального secondary интерфейса , Virtual77, 14:42 , 01-Апр-14 (1)
>[оверквотинг удален]
> ip dhcp ping packets 0
> !
> ip dhcp pool DHCP
> network 192.168.71.0 255.255.255.0
> default-router 192.168.71.1
> dns-server 91.197.1.1
> domain-name dhcp.xxxx
> !
> access-list 2 permit 82.198.164.22
> access-list 2 deny any может проще будет обе железки стыковать trunk портами, на 3560 поднять 2 VLAN интерфейса и в них уже настаивать DHCP пулы, порты на 3560 распределить по VLAN-ам
зачем этот геморрой с secondary? так же не понятно какой IP на 3560 каталисте? от какого IP он будет раздавать адреса, наверное все-таки у него должен быть назначен ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я бы все таки разрулил это все счастье VLAN-ми через trunk порты.
- DHCP c локального secondary интерфейса , Virtual77, 14:53 , 01-Апр-14 (2)
>[оверквотинг удален]
>> access-list 2 permit 82.198.164.22
>> access-list 2 deny any
> может проще будет обе железки стыковать trunk портами, на 3560 поднять 2
> VLAN интерфейса и в них уже настаивать DHCP пулы, порты на
> 3560 распределить по VLAN-ам
> зачем этот геморрой с secondary?
> так же не понятно какой IP на 3560 каталисте? от какого IP
> он будет раздавать адреса, наверное все-таки у него должен быть назначен
> ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я
> бы все таки разрулил это все счастье VLAN-ми через trunk порты. короче нужна более детальная схема, и более полные конфиги.
- DHCP c локального secondary интерфейса , tolyanich139, 15:47 , 01-Апр-14 (3)
>>[оверквотинг удален]
> короче нужна более детальная схема, и более полные конфиги.вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно) конфиг 3825:
--------------
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
ip flow-egress input-interface
ip flow-cache timeout active 1
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
voice-card 0
no dspfarm
!
!
username xxx
!
interface GigabitEthernet0/0
ip address 91.xxx.xxx.xxx 255.255.255.0
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip policy route-map MAP
duplex auto
speed auto
media-type rj45
arp timeout 600
!
interface GigabitEthernet0/1
no ip address
ip route-cache flow
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 2
ip address 10.1.3.241 255.255.255.252
!
interface GigabitEthernet0/1.50
encapsulation dot1Q 50
ip access-group 100 in
ip flow ingress
ip flow egress
!
interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 91.197.xxx.xxxx
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.xxx.xxx 91.197.xxx.xxx netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
logging trap debugging
logging origin-id hostname
logging facility daemon
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255!
!
control-plane
!
end
--------------- конфиг 3560 с поднятым DHCP:
---------------
aaa session-id common
regexp optimize
system mtu routing 1500
ip subnet-zero
no ip domain-lookup
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
network 192.168.71.0 255.255.255.0
default-router 192.168.71.1
dns-server 91.197.xxx.xxx
domain-name dhcp.xxx
!
!
mls qos
!
!
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
policy-map pm_test
!
!
interface GigabitEthernet0/1
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/2
!
..много интерфейсов..
!
interface Vlan70
ip address 192.168.70.2 255.255.255.0
!
ip default-gateway 10.1.3.241
ip classless
no ip http server
!
!
access-list 2 deny any
!
control-plane
!
!
end
----- Заранее спасибо!
- DHCP c локального secondary интерфейса , Virtual77, 16:47 , 01-Апр-14 (4)
>>>[оверквотинг удален]
>> короче нужна более детальная схема, и более полные конфиги.
> вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно) мое мнение на 3825 надо удалить секондари
потом добавить новый интерфейс
interface GigabitEthernet0/1.71
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly на 3560
создать VLAN 71
vlan 71 назначить ему IP interface Vlan71
ip address 192.168.71.2 255.255.255.0 порты которые хочешь засунуть в 70 сетку switchport
switchport mode access
switchport access vlan70 порты которые хочешь засунуть в 71 сетку switchport
switchport mode access
switchport access vlan71 в таком случае все должно заработать
сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул 192.168.71.0/24 так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
распихай порты по VLAN-ам (70 и 71) в таком случае все заработает.
- DHCP c локального secondary интерфейса , Virtual77, 17:04 , 01-Апр-14 (6)
>>>>[оверквотинг удален] и еще, подумал, в такой схеме агрегированием локального трафика будет заниматься 3825 отсюда следует трафик пробегает и 3560 и 3825 - налицо лишняя нагрузка на обе железки
т.к. 3560 это L3 свитч с поддержкой ACL может тебе есть смысл агрегировать локальный трафик на 3560 и туда же перенести ACL, а между 3825 и 3560 поднять линк точка-точка например 192.168.255.252/30 ?????
в такой схеме разргузишь 3825 (который у тебя вроде занимается ресурсоемким NAT-ом) и локальный трафик не будет бегать через 3825 а будет ходить внутри 3560 каталисты. Смотри сам как тебе легче все зависит от конкретных задач.
- DHCP c локального secondary интерфейса , tolyanich139, 13:34 , 03-Апр-14 (13)
> порты которые хочешь засунуть в 71 сетку
> switchport
> switchport mode access
> switchport access vlan71
> в таком случае все должно заработать
> сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP
> 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул
> 192.168.71.0/24
> так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
> распихай порты по VLAN-ам (70 и 71) в таком случае все заработает. спасибо за помощь!
так не получится, потому что dhcp нужен для точек доступа, которые раскиданы по многим портам каталиста3560
- DHCP c локального secondary интерфейса , ovdp, 16:52 , 01-Апр-14 (5)
с секондари интерфейсов dhcp просто не раздается. делать 2 сабинтерфеса и транком на каталик. dhcp должен быть настроен там где есть интерфейс с адресом из данной подсети>[оверквотинг удален]
> !
> !
> access-list 2 deny any
> !
> control-plane
> !
> !
> end
> -----
> Заранее спасибо!
- DHCP c локального secondary интерфейса , Virtual77, 17:12 , 01-Апр-14 (7)
>[оверквотинг удален]
>> !
>> !
>> access-list 2 deny any
>> !
>> control-plane
>> !
>> !
>> end
>> -----
>> Заранее спасибо!у тебя сейчас DHCP настроен не в той подсети, попробуй смени на 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает я тебе и говорю что секондари и не нужен, тут нужно поднять сабинтерфейс gi0/1.71 и вытянуть его на 3560 а на 3560 создать интерфейс-вилан с ip 192.168.71.2 255.255.255.0
порты распихать по vlan-ам то что ты затеял .... с секондари - не получиться, это не правильная схема (мое мнение, так сети не строят)
- DHCP c локального secondary интерфейса , Virtual77, 17:15 , 01-Апр-14 (9)
>>[оверквотинг удален] пробуй сменить IP на 3560
вместо 192.168.70.2 255.255.255.0
пропиши 192.168.71.2 255.255.255.0
или попробуй на 3560 в 70вилане добавь ip add 192.168.71.2 255.255.255.0 secondary
если даст, живого каталиста под рукой нету не могу проверить возможность добавления на каталисте секондари в вилан-интерфейсе. - DHCP c локального secondary интерфейса , tolyanich139, 16:54 , 03-Апр-14 (14)
> у тебя сейчас DHCP настроен не в той подсети, попробуй смени на
> 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает Cпасибо! Помогло! interface Vlan70
ip address 192.168.71.2 255.255.255.0 secondary
ip address 192.168.70.2 255.255.255.0
- DHCP c локального secondary интерфейса , Merridius, 17:13 , 01-Апр-14 (8)
Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в GI адрес secondary ip.
- DHCP c локального secondary интерфейса , Virtual77, 17:19 , 01-Апр-14 (10)
> Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP
> Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в
> GI адрес secondary ip.все верно но в таком случае ему прийдется все DHCP пулы перенести на 3825 циску, агрегирование локального трафика сделать на 3560 каталисте(как я и говорил) и на нем же поднять dhcp smart-relay, и уже в интерфейсах 3560 каталиста прописать ip helper-address DHCP сервера развернутого на 3825 циске
это будет наверное самый правильный вариант, но на сколько я понял на усложнение схемы терминирования/агрегирования трафика он не готов идти. кстати еще можно сменить маску сети и не парится
например взять сеть 192.168.70.0/23 (255.255.254.0)
и переписать все ACL
- DHCP c локального secondary интерфейса , Virtual77, 18:51 , 01-Апр-14 (11)
to tolyanich139
чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект http://fttbkhv.ru/test/temp.rar посмотри
я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я не знаю что там у тебя за 3560 живет)
на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP маршрутизатора.......
короче разберешься я думаю.
- DHCP c локального secondary интерфейса , tolyanich139, 12:33 , 03-Апр-14 (12)
> to tolyanich139
> чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю
> сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект
> http://fttbkhv.ru/test/temp.rar посмотри
> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
> не знаю что там у тебя за 3560 живет)
> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
> маршрутизатора.......
> короче разберешься я думаю.большое спасибо!
а в какой версии трейсера делали проект, ни в 5 ни в 6 не открывается =(
- DHCP c локального secondary интерфейса , Virtual77, 16:55 , 04-Апр-14 (15)
>[оверквотинг удален]
>> http://fttbkhv.ru/test/temp.rar посмотри
>> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
>> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
>> не знаю что там у тебя за 3560 живет)
>> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
>> маршрутизатора.......
>> короче разберешься я думаю.
> большое спасибо!
> а в какой версии трейсера делали проект, ни в 5 ни в
> 6 не открывается =( 6.0.1.0011
|
Версия для распечатки
