forum.opennet.ru - "DHCP: Постоянный IP в зависимоcти от интерфейса." (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DHCP: Постоянный IP в зависимоcти от интерфейса."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DHCP: Постоянный IP в зависимоcти от интерфейса."
Сообщение от Vadim F. on 10-Фев-09, 13:21
Приветствую! Вопрос такой: Есть Cisco 3662, за ним Catalyst sw-2950, есть сеть типа 192.168.166.0/24 нужно любому PC включенному в порт sw-2950 выдавать по dhcp конкретный адрес в зависимости от интерфейса, типа: включился на FastEthernet 0/5 - выдать 192.168.166.5 (всегда), ну и для остальных соответственно. На 3662 все интерфейсы "проброшены", все unnambered от Loo0 - 192.168.166.1 MAC подключенного PC не известен, может быть любой. Пишу: ip dhcp excluded-address 192.168.166.1 ! ip dhcp pool TEST network 192.168.166.0 255.255.255.0 netbios-node-type h-node default-router 192.168.166.1 class TEST1 address range 192.168.166.2 192.168.166.2 class TEST2 address range 192.168.166.3 192.168.166.3 ------ class TEST22 address range 192.168.166.22 192.168.166.22 ! ip dhcp class TEST1 relay agent information relay-information hex 001120c8d482* ! ip dhcp class TEST2 relay agent information relay-information hex 001120c8d483* ------ ip dhcp class TEST22 relay agent information relay-information hex 001120c8d496* В итоге DHCPD: DHCPDISCOVER received from client 0100.a0cc.cad7.68 on interface FastEthernet0/1.2 DHCPD: input does not contain option 82 Что нужно сказать на Catalyst'е дабы всё заработало? Благодарю.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

DHCP: Постоянный IP в зависимоcти от интерфейса., RDD, 13:46 , 10-Фев-09, (1)

DHCP: Постоянный IP в зависимоcти от интерфейса., Vadim F., 18:10 , 10-Фев-09, (2)

DHCP: Постоянный IP в зависимоcти от интерфейса., инкогникто, 21:58 , 11-Фев-09, (3)

DHCP: Постоянный IP в зависимоcти от интерфейса., mario23, 01:50 , 12-Фев-09, (4)

DHCP: Постоянный IP в зависимоcти от интерфейса., Vadim F., 02:23 , 12-Фев-09, (6)

DHCP: Постоянный IP в зависимоcти от интерфейса., trianon, 11:10 , 13-Фев-09, (9)

DHCP: Постоянный IP в зависимоcти от интерфейса., Vadim F., 02:20 , 12-Фев-09, (5)

DHCP: Постоянный IP в зависимоcти от интерфейса., Alex, 06:36 , 12-Фев-09, (7)

DHCP: Постоянный IP в зависимоcти от интерфейса., Vadim F., 10:09 , 13-Фев-09, (8)

DHCP: Постоянный IP в зависимоcти от интерфейса., Vadim F., 13:44 , 14-Фев-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от RDD on 10-Фев-09, 13:46

Вообще как привязать ip к интерфейсу не подскажу. Обычно привязывают ip к мас и делают это на dhcp сервере. Я так понимаю задача в том, чтоб что попало не подключали на рабочих местах, за исключением того оборудования которое подключено.
На 2960 можно ограничить количество мас адресов приходящих с порта.
Что то примерно так
interface FastEthernet0/1
description -= User Interface =-
switchport access vlan 999
switchport mode access
switchport port-security maximum 1
switchport port-security violation restrict
ip dhcp snooping limit rate 50
И для всего комутатора восстановление включить
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause arp-inspection
errdisable recovery interval 30
в дальнейшем блокированые порты смотреть командой
sh interfaces status err-disabled

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Vadim F. on 10-Фев-09, 18:10

В том то всё и дело, что нужно IP к порту привязать,
подключать "что попало" можно и нужно, только flow снимать с интерфейса и счёт выставлять :)
В принципе это нужно заставить работать на связке 2811 и 3xsw-2960 каскадом.
пока экспериментирую на 3662 и sw-2950.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от инкогникто on 11-Фев-09, 21:58

А если каждый порт в отдельный влан, со своей подсетью?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от mario23 on 12-Фев-09, 01:50

>А если каждый порт в отдельный влан, со своей подсетью?
я так понял вас интересует безопасность !?
так вот используйте АЦЛ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Vadim F. on 12-Фев-09, 02:23

>>А если каждый порт в отдельный влан, со своей подсетью?
>
>я так понял вас интересует безопасность !?
>так вот используйте АЦЛ
Да нет, безопасность не интересует.
Интересует:
Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо известно в какую, соответственно известен Catalyst и порт)) и делает трафик. Вот с него денюжку получить и надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от trianon (??) on 13-Фев-09, 11:10

>>>А если каждый порт в отдельный влан, со своей подсетью?
>>
>>я так понял вас интересует безопасность !?
>>так вот используйте АЦЛ
>
>Да нет, безопасность не интересует.
>Интересует:
>Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо
>известно в какую, соответственно известен Catalyst и порт)) и делает трафик.
>Вот с него денюжку получить и надо.
Вы и внутрисетевой трафик хотите считать или только проходящий через 2811?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Vadim F. on 12-Фев-09, 02:20

>А если каждый порт в отдельный влан, со своей подсетью?
Порты каждый в своём влане, такое есть.
А вот что имеется ввиду про подсети?
Не хочется отдавать FA's на 3662 IP-адреса, всвязи с этим есть Loopback0, и от него аннамберед.
В принципе flow можно снимать с Catalyst, но так то интереснее! :)
Подскажите, может ещё чего пропустил.
Благодарю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Alex (??) on 12-Фев-09, 06:36

Смотри в сторону IP source guard

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Vadim F. on 13-Фев-09, 10:09

>Смотри в сторону IP source guard
Насколько я понял на платформе 2900 сие не реализовано.
Похоже очень "тупая" платформа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "DHCP: Постоянный IP в зависимоcти от интерфейса."

Сообщение от Vadim F. on 14-Фев-09, 13:44

>>Смотри в сторону IP source guard
>
>Насколько я понял на платформе 2900 сие не реализовано.
>Похоже очень "тупая" платформа.
"Переехал" на др. sw-2950, "поумнее" оказался, snooping понимает.
А я вот что-то никак не пойму, чего он от меня хочет.
Пишу на sw-2950:
ip dhcp snooping
ip dhcp snooping vlan 17-19 (три порта в которые "втыкаю" PC, на 3662 соответственно клаcсы повесил на FE0/1.17 - FA0/1.19)
Получаю на sw-2950:
5981856: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/19)
5981857: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5981858: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: add relay information option.
5981859: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5981860: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x13 0x0 0x12 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xAs run
5981861: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (19)
5981862: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet output port set is null, packet is dropped.
на транковый порт FA0/1 в сторону 3662 ставлю:
ip dhcp snooping snooping trust
debug выдаёт:
5980860: Feb 14 16:49:58.725 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/18)
5980861: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5980862: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: add relay information option.
5980863: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5980864: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x12 0x0 0x11 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xA 0x80
5980865: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (18)
5980866: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/1.
Ни в первом, ни во втором случае на 3662 в дебаге ничего не появляется.
Если установить FA0/19 в ip dhcp snooping snooping trust
ситуация похожа, но без binary dump of relay info option, length: 20 data
Куда теперь смотреть???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DHCP: Постоянный IP в зависимоcти от интерфейса."
Сообщение от RDD on 10-Фев-09, 13:46
Вообще как привязать ip к интерфейсу не подскажу. Обычно привязывают ip к мас и делают это на dhcp сервере. Я так понимаю задача в том, чтоб что попало не подключали на рабочих местах, за исключением того оборудования которое подключено. На 2960 можно ограничить количество мас адресов приходящих с порта. Что то примерно так interface FastEthernet0/1 description -= User Interface =- switchport access vlan 999 switchport mode access switchport port-security maximum 1 switchport port-security violation restrict ip dhcp snooping limit rate 50 И для всего комутатора восстановление включить errdisable recovery cause dhcp-rate-limit errdisable recovery cause arp-inspection errdisable recovery interval 30 в дальнейшем блокированые порты смотреть командой sh interfaces status err-disabled
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от Vadim F. on 10-Фев-09, 18:10
	В том то всё и дело, что нужно IP к порту привязать, подключать "что попало" можно и нужно, только flow снимать с интерфейса и счёт выставлять :) В принципе это нужно заставить работать на связке 2811 и 3xsw-2960 каскадом. пока экспериментирую на 3662 и sw-2950.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от инкогникто on 11-Фев-09, 21:58
	А если каждый порт в отдельный влан, со своей подсетью?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от mario23 on 12-Фев-09, 01:50
	>А если каждый порт в отдельный влан, со своей подсетью? я так понял вас интересует безопасность !? так вот используйте АЦЛ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от Vadim F. on 12-Фев-09, 02:23
	>>А если каждый порт в отдельный влан, со своей подсетью? > >я так понял вас интересует безопасность !? >так вот используйте АЦЛ Да нет, безопасность не интересует. Интересует: Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо известно в какую, соответственно известен Catalyst и порт)) и делает трафик. Вот с него денюжку получить и надо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от trianon (??) on 13-Фев-09, 11:10
	>>>А если каждый порт в отдельный влан, со своей подсетью? >> >>я так понял вас интересует безопасность !? >>так вот используйте АЦЛ > >Да нет, безопасность не интересует. >Интересует: >Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо >известно в какую, соответственно известен Catalyst и порт)) и делает трафик. >Вот с него денюжку получить и надо. Вы и внутрисетевой трафик хотите считать или только проходящий через 2811?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от Vadim F. on 12-Фев-09, 02:20
	>А если каждый порт в отдельный влан, со своей подсетью? Порты каждый в своём влане, такое есть. А вот что имеется ввиду про подсети? Не хочется отдавать FA's на 3662 IP-адреса, всвязи с этим есть Loopback0, и от него аннамберед. В принципе flow можно снимать с Catalyst, но так то интереснее! :) Подскажите, может ещё чего пропустил. Благодарю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "DHCP: Постоянный IP в зависимоcти от интерфейса."
Сообщение от Alex (??) on 12-Фев-09, 06:36
Смотри в сторону IP source guard
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от Vadim F. on 13-Фев-09, 10:09
	>Смотри в сторону IP source guard Насколько я понял на платформе 2900 сие не реализовано. Похоже очень "тупая" платформа.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "DHCP: Постоянный IP в зависимоcти от интерфейса."
	Сообщение от Vadim F. on 14-Фев-09, 13:44
	>>Смотри в сторону IP source guard > >Насколько я понял на платформе 2900 сие не реализовано. >Похоже очень "тупая" платформа. "Переехал" на др. sw-2950, "поумнее" оказался, snooping понимает. А я вот что-то никак не пойму, чего он от меня хочет. Пишу на sw-2950: ip dhcp snooping ip dhcp snooping vlan 17-19 (три порта в которые "втыкаю" PC, на 3662 соответственно клаcсы повесил на FE0/1.17 - FA0/1.19) Получаю на sw-2950: 5981856: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/19) 5981857: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 5981858: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: add relay information option. 5981859: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 5981860: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x13 0x0 0x12 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xAs run 5981861: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (19) 5981862: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet output port set is null, packet is dropped. на транковый порт FA0/1 в сторону 3662 ставлю: ip dhcp snooping snooping trust debug выдаёт: 5980860: Feb 14 16:49:58.725 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/18) 5980861: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER 5980862: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: add relay information option. 5980863: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format 5980864: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data: 0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x12 0x0 0x11 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xA 0x80 5980865: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (18) 5980866: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/1. Ни в первом, ни во втором случае на 3662 в дебаге ничего не появляется. Если установить FA0/19 в ip dhcp snooping snooping trust ситуация похожа, но без binary dump of relay info option, length: 20 data Куда теперь смотреть???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]