Итак
Сейчас адреса выдаются абонентам по DHCP option82
согласно номеру порта
на свичах настроен DHCP relay
Все работает.

Появилась задача - организовать IPTV
вопросы мультикаста опустим
но
каждому абоненту будет установлен свич DIR-100
и STB -приставка.
Для приставки на свич будет прокинут отдельный влан
Собсвенно задача -выдать приставке определенный адрес по DHCP.

Тема с релеем -не подходит -ибо свич будет релеить все пакеты независимо от того с какого влана они пришли и выдавать приставке адрес абонентского компа -что недопустимо.

Вопрос -можно ли как то запретить релеить пакеты из определенного влана?
Или придумать что то еще?




запретить dhcp relay для определенного влана

Мы тоже примерно тем же сейчас морочимся. Аминки передают некий аттрибут в dhcp-запросе, будем по нему авторизовать.
Вариант сложнее - записывать маки приставок. Всё-таки их в разы меньше общего числа юзеров, и проблемы "замены сетевухи" не стоит

Ну до этого мы тоже додумались
Но не вариант.
Не прокатит с теми кто захочет через комп ТВ смотреть
Можно с маками, но ищу более изящное решение.

так Option82 в числе прочего передаёт номер влана - на него и ориентируйтесь. в чём проблема?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

проблема в том что за портом 3526
2 железки
одна -сетевая карта юзера в юзерском влане
вторая -приставка в вилане для IPTV
обоим железкам надо выдать фиксированный адрес.


спасибо, сейчас попробуем

На самом деле выключение DHCP Relay в определенном VLAN очень даже нужна. Иногда предоставляется услуга выделеного VLAN, как правило порт доступа этой услуги на том же коммутаторе куда и обычные абоненты подключены. Так вот в выделенном VLAN неплохо как раз выключить DHCP Relay во всех его проявлениях.
ps. Кстати многие коммутаторы так умеют, неплохо бы получить и от длинков такой функционал.

1. Приставки передают вендор id. По нему и ориентируйтесь. Вот что читайте в манах на dhcpd: option vendor-class-identifier. (у нас это работает).
2. Запретить dhcp_relay можно через cpu acl по udp src_port 68 dst_port 67 в том влане, где надо. (это тоже работает на сети)

А если в нужном влане DHCP должен работать, просто не использовать DHCP Relay который выставлен на коммутаторе (скажем объединение 2х офисов, внутри которых работает свой собственный DHCP Server)

2 shicoy
dhcp snooping?

2 all
Как справедливо и грамотно заметил Ivan E.
Проблема прекрасно решается с использованием Option 60.

Пардон а причем тут dhcp snooping?
Вот вам пример:
Есть коммутатор доступа порты с 1 по 23 находятся в абонентском влане, порт 24 находится в влане который тянется в другой конец города. По этому влану организованно соединение двух офисов абонента юрлица. И скажем это юрлицо внутри своей сети так же использует dhcp для выдачи IP (разумеется со своего dhcp сервера).
А ну да на коммутаторе доступа конечно же включен и dhcp relay на сервер провайдера и dhcp snooping (на нужных портах).
Только вот юрлицу с арендой vlan это не поможет, т.к. коммутатор будет перехватывать dhcp запросы и релеить на сервер провайдера.

Интересно, это реальная задача или просто ради того что бы поговорить делается?

2 shicoy
я просто уточнил, спасибо, за описание проблемы, задача ясна и она может решаться несколькими способами в зависимости от типа оборудования на вашей сети:
1) включение dhcp local relay
2) перенос dhcp relay на уровень выше + ACL
возможны вариации

Более чем. У меня так с пару десятков юр. лиц подключено.


Имеется ввиду использование dhcp local relay с указанаием вланов, в которых нужно релеит запросы?
Не всегда приемлемо:
1. Нужно дополнительно защищать dhcp-сервер, так как он находится в одном влане с абонентами.
2. Нужно "тянуть" на dhcp-сервер вланы, и, что еще хуже, терминировать их там. В случае с маршрутизируемыми ip-адресами все совсем грустно.


А есть готовые наработки с ACL? И как я понимаю речь идет не просто об ACL, а об CPU ACL.

2 SpiderX


Функцию dhcp local relay предлагается включаеть для юр.абонентов их вланы обычно не "разрываются" или "тянутся" как вы это называете... а для интернет абонентов предлагается использовать обычный релей.




Под какой тип оборудования требуется сделать ACL?

А разве в рамках одного коммутатора (DES-3200\3028) возможно использовать и dhcp relay и dhcp local relay. Я сам не тестировал, но на форуме читал, что нельзя. И как бы по логике, получается что нельзя.

Тут как бы суть всего вопроса. Есть оптическая сеть, ест узлы. На узлах свитчи, со свитчей работают физ. лица. На свитчах включен dhcp relay. Появляется в этом же здании юр. лицо, оно включается в отдельный влан в тот же свитч, с которого уже работают физ. лица и где уже включен dhcp relay.


DES-3200