Сеть на DHCP Option82 – это просто
В данной статье речь пойдет о построении сети с использованием технологии подключения пользователей, известной как IPoE с использованием динамической выдачи адресов по протоколу DHCP с использованием опции 82.
Итак нашей задачей является построить сеть в которой от пользователя требуется минимум действий для авторизации и работы в сети. Можно даже назвать это как: «воткнул кабель в компьютер, и заработало».
В качестве биллинговой системы мы будем использовать бесплатную (до 200 абонентов) сертифицированную АСР Felix2. В качестве DHCP сервера будем использовать ISC DHCP сервер.
Общая схема работы
Когда пользователь включает компьютер, операционная система отправляет DHCP запрос на получение IP адреса в сеть. На коммутаторе включено перенаправление DHCP запросов (DHCP Relay) и включена поддержка опции 82 протокола DHCP, поэтому он перехватывает DHCP запрос от пользователя, добавляет данные Option82 (Agent Circuit ID и Agent Remote ID) к DHCP пакету и перенаправляет запрос на DHCP сервер.
Когда DHCP запрос попадает на DHCP сервер, тот выдает IP-адрес основываясь на данных текущей конфигурации. В конфигурации задано соответствие IP-адреса, выдаваемого пользователю, IP-адресу и порту коммутатора к которому подключен пользователь. Конфигурация DHCP сервера формируется АСР Felix2 по имеющейся в базе данных информации.
АСР Felix2 периодически забирает от DHCP сервера данные о MAC адресах пользователей (которым были выданы IP-адреса) на портах коммутаторов. По IP-адресу и номеру порта коммутатора система находит пользователя в базе и отмечает, что MAC адрес принадлежит этому пользователю.
Также АСР Felix2 периодически забирает ARP таблицу с маршрутизатора (таблица соответствий IP — MAC) и, если пара IP-MAC соответствует пользователю в базе, данный пользователь считается авторизованным. Как только пара IP-MAC пропадает (пользователь выключает компьютер) система переводит пользователя в список неавторизованных (выполнив перед этим проверку, что оборудование абонента действительно выключено).
Практическая реализация
Для начала нам потребуется компьютер с двумя сетевыми картами и любой коммутатор, поддерживающий DHCP Relay (option 82). Первую (тестовую) сеть будем строить по следующей схеме:
В данной схеме система на АСР Felix2 будет выполнять дополнительно функцию маршрутизатора.
Установка
Скачаем (felix2.ru/download) и установим любым из описанных способов на сервер АСР Felix2.
В данной статье мы будем использовать «Установочный диск АСР Felix2». Подробная инструкция по установке АСР Felix2 находится здесь: felix2.ru/documentation
После установки входим в систему, используя логин root и пароль, указанный во время установки.
Сетевой интерфейс eth0 после установки сконфигурирован для работы с внутренней сетью:
IP-адрес: 10.1.1.1
Маска подсети: 255.255.255.0
Интерфейс eth1 нужно настроить для работы с вышестоящим Интернет провайдером:
Здесь 1.1.1.2 — IP-адрес выданный нам вышестоящим Интернет провайдером, 1.1.1.1 – IP-адрес шлюза провайдера.
Чтобы конфигурация сети не сбросилась после перезагрузки, ее нужно описать в файле /etc/network/interfaces
Установим ISC-DHCP сервер:
Сразу после установки DHCP сервер не запустится, так он еще не сконфигурирован:
Конфигурирование
Файл шаблона конфигурации ISC DHCP сервера (dhcp_opt82_ip-port.conf) и все остальные необходимые конфигурационные файлы можно скачать отсюда:
ftp://download.felix2.ru/config.examples/felix2_dhcp_opt82.tar.gz
Скачиваем, распаковываем, заменяем конфигурационные файлы:
Перезапускаем АСР Felix2:
Создание оборудования и тестового пользователя в АСР Felix2
Зайдем в веб-интерфейс администратора. Можно для этого использовать тестовую машину, временно поставив на ней статический IP-адрес (например 10.1.1.10/24). Веб интерфейс администратора доступен на 444 порту по протоколу HTTPS. Логин/пароль по умолчанию: su/su.
Чтобы появились дополнительные поля в интерфейсе, укажем в настройках интерфейса (Конфигурация -> Настройки интерфейса) что используется схема выдачи адресов DHCP-Opt82:
Теперь добавим наш коммутатор в базу оборудования (Оборудование -> Новое оборудование):
Статус: Установлено, IP-адрес: 10.1.1.253, Модель: DES-3200-28, и нажмем «Добавить».
Создаем нового пользователя (Пользователи -> Новый пользователь). Выбираем адрес подключения. Система автоматически предложит подсеть, используемую в данном доме и выберет первый свободный IP-адрес.
Выбираем оборудование к которому будет подключен пользователь. Система предложит выбрать оборудование из списка оборудования, установленного в данном доме.
Указываем что пользователь будет подключен к первому порту коммутатора. Отмечаем флаг «Подключение выполнено» и нажимаем «Добавить».
После этого пополняем счет (Пополнения счета -> Новое пополнение), активируем тарифный план (Платежи -> Платеж по тарифу). Посмотреть текущее состояние пользователя можно в (Пользователи -> Личная статистика).
Проверим, что конфигурационный файл DHCP сервера обновился:
Проверим, что DHCP сервер работает:
Настройка коммутатора
Теперь нужно настроить коммутатор. Если коммутатор «из коробки», в инструкции должен быть указан IP-адрес «по умолчанию». Если оборудование «б/у», и вы не знаете какой у него IP-адрес/логин/пароль, нужно сбросить конфигурацию через консольное подключение.
В данной статье мы будем использовать коммутатор DES-3200-28 «из коробки».
Ставим на тестовой машине статический IP-адрес (например 10.90.90.1/8) Подключаемся к коммутатору по протоколу telnet:
Включаем, настраиваем DHCP Relay:
Теперь коммутатор будет перехватывать DHCP запросы, добавлять идентификационную информацию (option 82) и отправлять на DHCP сервер (10.1.1.1)
Задаем маршрут «по умолчанию» и новый IP-адрес коммутатора:
После последней команды (смена IP-адреса) соединение будет разорвано. Ставим на тестовой машине статический IP-адрес (например 10.1.1.10/24) Подключаемся к коммутатору по новому адресу, сохраняем конфигурацию:
Включаем на тестовом компьютере получение сетевых настроек по DHCP.
Подключаем тестовый компьютер в первый порт коммутатора. Проверяем что DHCP-Relay пакеты от коммутатора доходят до сервера и клиент получает IP-адрес:
Проверяем, что данные пользователя правильно отображаются в интерфейсе АСР Felix2.
Реальная схема сети
600 абонентов). Аплинк от магистрального провайдера приходит в оптический порт коммутатора. Этот порт нужно объединить в VLAN с портом, куда подключается сетевая карта eth1 от сервера с АСР Felix2.
Например, объединяем 1 и 24 порт в 1000й VLAN:
При росте сети также желательно разнести дома по отдельным VLAN.
Схема сети с выделенным маршрутизатором
При росте внутрисетевого(локального) трафика, соединение между коммутатором и сервером с АСР Felix2, выполняющим одновременно роль маршрутизатора, станет узким местом. Чтобы избежать этого, нужно установить выделенный маршрутизатор.
Также нужно указать АСР Felix2 получать ARP таблицу с внешнего маршрутизатора. Отредактируем файл /etc/felix2/felix2.xml:
Модуль arp_fetcher может получать таблицу ARP адресов с оборудования CISCO (interface=«CISCO»), D-Link (interface=«DLINK»), или с программного маршрутизатора на базе Linux (interface=«Linux»).
По просьбе хабражителей добавлен пример сгенерированного системой конфигурационного файла для ISC DHCP сервера.
В данном примере пользователям, подключенным в порты 1-3 коммутатора с адресом 10.1.1.253, выдаются адреса 10.1.1.2-10.1.1.4 соответственно.
Источник
Astra linux ping unknown option 82
хочу на уровне агрегации Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14 Supervisor III 1000BaseX (GBIC) WS-X4014 JAB081104MQ
по порту(влану-если добавить на доступ свич с влан .1q) выдавать ип
если включаю просто релей, то комп получает ип без проблем
!
interface FastEthernet2/33
no switchport
ip address 10.10.10.1 255.255.255.0
ip helper-address 192.168.0.55
!
interface FastEthernet2/34
no switchport
ip address 192.168.0.222 255.255.255.0
!
конф дхцп
subnet 10.10.10.0 netmask 255.255.255.0 <
range 10.10.10.120 10.10.10.140;
option routers 10.10.10.1;
allow unknown-clients;
>
дебаг дхцп
Wrote 0 leases to leases file.
Listening on Socket/ed1/192.168.0/24
Sending on Socket/ed1/192.168.0/24
DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPDISCOVER from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPOFFER on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPREQUEST for 10.10.10.140 (192.168.0.55) from 00:11:2f:80:6b:37 (philka) via 10.10.10.1
DHCPACK on 10.10.10.140 to 00:11:2f:80:6b:37 (philka) via 10.10.10.1
а если включаю опт82 на циске
Switch#sh ip dh sn
Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
с таким конфом дхцп
subnet 10.10.10.0 netmask 255.255.255.0 <
class «port-33» <
match if binary-to-ascii (10, 8, «», suffix( option agent.circuit-id, 1)) = «33»;
>
pool <
range 10.10.10.33 10.10.10.33;
allow members of «port-33»;
>
>
то дебаг выдает
DHCPDISCOVER from 00:11:2f:80:6b:37 via 10.10.10.1: network 10.10.10/24: no free leases
тоже самое если включаю еще на циске снупинг и
ip dhcp snooping information option allow-untrusted
не пойму в чем проблема или опт82 не вставляется на циске или
неправильно класс описал в дхцп или еще в чем-то
| Оглавление |
|
| Сообщения по теме | [Сортировка по времени | RSS] |
| 1. «dhcp option 82» | + / – | |
Сообщение от brr  on 30-Апр-09, 21:40 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 2. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 02-Май-09, 09:34 | ||
Трехуровневая модель от Циско: http://www.mcmcse.com/cisco/guides/hierarchical_model.shtml | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 4. «dhcp option 82» | + / – | |
| Сообщение от w0nders (??) on 02-Май-09, 22:07 | ||
хорошо, тогда Вам нужно прочесть мотериал, на который указывает ссылка (самостоятельно). | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 5. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 03-Май-09, 04:01 | ||
Да, в чем-то Вы правы. Но, иногда, уровень распределения трактуется как уровень, который агрегирует уровень доступа(. The Distribution layer acts as an aggregation point for all the Access layer devices. (http://articles.techrepublic.com.com/5100-10878_11-5032795.html)). А вот, с cisco.com: Function of the Distribution Layer The distribution layer of the network is the demarcation point between the access and core layers and helps to define and differentiate the core. The purpose of this layer is to provide boundary definition and is the place at which packet manipulation can take place. In the campus environment, the distribution layer can include several functions, such as the following: •Address or area aggregation •Departmental or workgroup access •Broadcast/multicast domain definition •Virtual LAN (VLAN) routing •Any media transitions that need to occur Как видно, слово «агрегация» все же имеет отношение к иерархическим моделям циско. С тем что оно может трактоваться по-разному я согласен. Но, тогда не проще ли спросить у «первоисточника», автора вопроса, что он имел в виду? 🙂 Автор, Вам слово 🙂 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 8. «dhcp option 82» | + / – | |
| Сообщение от w0nders (??) on 03-Май-09, 13:56 | ||
Все верно, но название такого уровня нет, а в задачи уровня распределния входит как раз — aggregation point for all the Access layer devices, слово «агрегация» можно заменить например — обьединение, включение и тд. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 02-Май-09, 09:56 | ||
Почему снупинг не включаешь? >[оверквотинг удален] на каталисте(dhcp relay) interface Vlan20 sh ip dhcp snooping Insertion of option 82 is enabled трастовый порт — это порт с которого «прилетает» ответ от dhcp сервера. Дебаг включаем так: На DHCP сервере: class «ATS-XXX.XXX» < class «ANY» < shared-network AMINO-NET < subnet 10.230.31.0 netmask 255.255.255.0 < На стороне DHCP сервера, дебажим так: Вообще, сообщение вида ‘DHCPDISCOVER . no free leases’ появляется в следующий случаях: | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 03-Май-09, 10:50 | ||
sproot спаибо за ответ по порядку Вы можете показать живой дебаг дхцп сервера когда приходит запрос с опц82? | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 7. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 03-Май-09, 12:38 | ||
May 3 00:16:37 bs03 dhcpd: DHCPDISCOVER from 00:02:02:15:6d:d8 via 10.230.108.1 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 9. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 03-Май-09, 20:52 | ||
дебаг дхцп с и без опции82 не отличается, у меня такой же без опции82 опытным путем вычислил что не проходит матч скажите а как вы разбирали формат опции82, и вычислили что у вашего каталиста именно такой матч? | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 10. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 04-Май-09, 03:28 | ||
смотрел tcpdump-ом(пример см. выше). Странно, что без опции 82 лог у тебя такой же. В принципе, «via » говорит о том что запрос пришел с dhcp relay. Смотрю исходник server/dhcp.c: snprintf (msgbuf, sizeof msgbuf, «DHCPDISCOVER from %s %s%s%svia %s», Поле giaddr заполняется dhcp агентом, если оно не пустое, то в логе ты увидишь «via «. В противном случае, если пакет пришел с ethernet сегмента, в котором сидит dhcp сервер, тогда будет «via «. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 11. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 04-Май-09, 17:56 | ||
а покажи свой пример тспдампа (правда у меня не линух а фрибсд, может ключи отличаются) потому что в моем я ниче не вижу ut# tcpdump -i ed1 -nn -s 0 -v port 67 or port 68 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 12. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 04-Май-09, 20:28 | ||
теперь надо разбираться почему в режиме Л3 опция не вставляется | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 13. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 05-Май-09, 02:20 | ||
| 08:50:59.167730 IP (tos 0x0, ttl 59, id 2635, offset 0, flags [none], proto: UDP (17), length: 379) 10.230.84.10.68 > 172.25.25.14.67: BOOTP/DHCP, Request from 00:02:02:1c:ee:06, length 351, xid 0x5cd0cc76, secs 10, Flags [ none ] покажи полный вывод show ip dhcp snooping, в том варианте когда опция не выставляется. P.S. ip dhcp relay information option interface GigabitEthernet0/2.12 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 14. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 05-Май-09, 13:53 | ||
Switch#sh ip dh sn >P.S. команду траст на Л3 интерф вообще невозмонжо сделать, есть токо релей >[оверквотинг удален] эти команды похоже просто пропускают дхцп-пакет с опцией 82 (если она на более низком уровне вставлена) а вот если через SVI интерфейс настраиваю, то все работает тспдамп дебаг дхцп | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 15. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 05-Май-09, 14:45 | ||
Да, я сейчас начинаю что-то такое припоминать..Было это еще в прошлом году, когда я настраивать dhcp relay agent для MPLS IP VPN. Наступал на эти же грабли. 🙂 А попробуй-ка ввести вот эту хрень: ip dhcp relay information option ip dhcp snooping ну, и ip helper-address на ближайшем L3 интерфейсе к dhcp клиенту. Это открывает все и вся для опции82. Скажи, какие команды у тебя есть после ip dhcp relay information option? Какая версия IOS? Хотя, может быть в новых IOS добавили фич по части dhcp relay | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 16. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 05-Май-09, 16:52 | ||
результата не дало >Скажи, какие команды у тебя есть после ip dhcp relay information option? Switch(config)#ip dhcp relay information ? >Какая версия IOS? Catalyst 4000 L3 Switch Software (cat4000-I5K91S-M), Version 12.2(25)EWA14 может я чего-то не понимаю, но я не знаю как можно терминировать вланы со свича доступа на SVI посмотри здесь http://forum.nag.ru/forum/index.php?showtopic=48681 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 17. «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 07-Май-09, 02:45 | ||
>[оверквотинг удален] а зачем их терминировать когда есть SVI и запущен роутинг(ip routing)? >посмотри здесь http://forum.nag.ru/forum/index.php?showtopic=48681 | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 18. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 07-Май-09, 14:32 | ||
| тем что кол-во СВИ ограничено, а когда каждый юзер в отдельном влане неудобно а если я терминирую на Л3 интерфейсе, то создаю одну подсеть на много вланов, юзеров | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 19. «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 07-Май-09, 14:39 | ||
команды есть, но или я что-то не так делаю, | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 20 . «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 07-Май-09, 17:10 | ||
Ограничено, на 4500 можно 1000 создать, а на 4006 не в курсе..Думаю, что значительно меньше. Ну, а если бы они в одном вилане сидели бы, как выдавать подсети, по номеру порта? > «..одну подсеть на много вланов..». Это как? если, не секрет. Через IP Unnumbered? >[оверквотинг удален] | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 21 . «dhcp option 82» | + / – | |
| Сообщение от charliecharlie (ok) on 07-Май-09, 19:23 | ||
зачем в одном вилане, пускай в разных сидят на порт агрегации в режиме Л3 вешаю сеть 10,10,10,0/24, от него на свич доступа аплинк | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 22 . «dhcp option 82» | + / – | |
| Сообщение от sproot (ok) on 08-Май-09, 01:24 | ||
Понятно. Ну, тогда я незнаю как сделать чтобы было без SVI и с опцией 82. Если найдешь решение, маякни. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 23 . «dhcp option 82» | + / – | |
| Сообщение от Elisium on 15-Май-09, 13:30 | ||
Там решают подобный вопрос, хоть и тема по другому называется . Источник | ||
