Схема такая Catalyst 3750
/ | \
много Edge-core ES3528M :)
настройка DHCP Option 82
транзит Option 82 через каталисту, генерация на edge-core es3528m
настройки на catalyst:
service dhcp
ip dhcp relay information trusted
ip dhcp snooping vlan 10 ( на каком вилане работать )
ip dhcp snooping information option allow-untrusted ( если нужен транзит option 82 и нет локальных клиентов)
ip dhcp snooping information option format remote-id hostname ( под вопросом )
no ip dhcp snooping verify mac-address ( не проверять мак адрес на порту )
ip dhcp snooping ( включаем фичу )
ip arp inpection vlan 10 ( включение защиты от arp-spoofing )
ip dhcp snooping database tftp://10.255.10.2/snooping_me3750.txt ( для того чтоб не потерять базу биндингов при перезагрузе указываем место ее хранения )
ip dhcp snooping database timeout [number] ( таймаут доступа к бд )
ip dhcp snooping database write-delay [number] ( задержка записи в бд )
на порту в сторону нижестоящего коммутатора
interface fastethernet 1/0/24 ( пример )
ip dhcp relay information trusted
ip dhcp relay information policy-action keep
ip arp inspection trust ( доверяем всем )
ip dhcp snooping trust ( доверяем если глобально не включен ip dhcp snooping information option allow-untrusted )
ip arp inspection limit rate [number] ( ограничиваем количество пакетов в секунду )
ip dhcp snooping limit rate [number] ( ограничиваем количество пакетов в секунду )
на логическом интерфейсе
interface vlan 10 ( пример )
ip helper-address 10.255.10.2 ( адрес dhcp сервера )
на клиентском порту
interface fastethernet 1/0/1 ( пример )
ip verify source port-security ( включаем IP Source Guard )
no ip dhcp snooping trust ( недоверяем присылаемым option 82 )
ip arp inspection limit rate [number] ( ограничиваем количество пакетов в секунду )
ip dhcp snooping limit rate [number] ( ограничиваем количество пакетов в секунду )
на этом с кошкой все
настройки edge-core ES3528M
ip dhcp snooping ( включаем )
no ip dhcp snooping verify mac-address ( отключаем проверку мака )
ip dhcp snooping vlan 10 ( указываем с каким виланом работать )
ip dhcp snooping information option ( добавляем option 82 )
ip arp inspection vlan 10 ( включаем )
ip arp inspection ( включаем )
на порту в сторону вышестоящего коммутатора
interface ethernet 1/1
ip dhcp snooping trust ( доверяем )
ip arp inspection trust ( доверяем )
на клиентском порту
interface ethernet 1/2
ip source-guard sip ( включаем IP Source Guard )
ip arp inspection limit rate [number] ( ограничиваем количество пакетов в секунду )
настройки на стороне dhcp сервера ( сервер должен быть собран с поддержкой уникаст запросов )
в dhcpd.conf
проверка наличия option 82 и вывод полезной информации
if exists agent.circuit-id
{
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ",
binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 2)), " (substract 2 for ME-C3750), VLAN ",
binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ",
binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6)), " switch IP ",
binary-to-ascii(10, 8, ".", packet(24, 4))));
}
создаем подсеть
subnet 192.168.11.0 netmask 255.255.255.0 {
option routers 192.168.11.1;
option broadcast-address 192.168.11.255;
# создаем класс где option agent.remote-id мак коммутатора ( вместо двух 00 всегда используется один 0 ) , и option agent.circuit-id порт на коммутаторе ( на некоторый кошках на два больше )
class "192.168.11.250" {
match if binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6)) = "0:12:cf:67:82:9e" and binary-to-ascii (10,
8, "", suffix( option agent.circuit-id, 1)) = "2";
}
#создаем диапазон
pool {
range 192.168.11.250;
allow members of "192.168.11.250";
}
Комментариев нет:
Отправить комментарий