faq обучение настройка
Текущее время: Пн июл 28, 2025 10:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 07, 2010 13:18 
Не в сети

Зарегистрирован: Вс ноя 15, 2009 16:09
Сообщений: 38
Откуда: Москва
Судя по конфигу
Код:
config ipif System vlan default ipaddress 172.31.175.130/28 state enable proxy_arp disable
create ipif HN_p2p_if 172.17.254.42/30 HN_p2p.Lermontova54 state enable proxy_arp disable

create ipif DHCPrelay_if 172.31.175.146/30 LOCAL_PPPoE.Lermontova54 state enable proxy_arp disable
create ipif Routing_if 10.0.76.1/24 LOCAL_PPPoE.Lermontova54 state enable secondary proxy_arp disable
create ipif Rout_IPTV_if 10.128.76.1/24 LOCAL_PPPoE.Lermontova54 state enable secondary proxy_arp disable

create iproute 10.0.0.0/255.0.0.0 172.17.254.41 1 primary
create iproute default 172.31.175.129 1 primary

config dhcp_relay add ipif DHCPrelay_if 172.31.253.178
пакеты, приходящие от клиентов, приходящие на порты связанные с VLANом LOCAL_PPPoE.Lermontova54, должны идти далеко-далеко по default-маршруту через шлюз 172.31.175.129 в управляющем VLANе на DHCP-сервер 172.31.253.178.
Вы осознанно выбрали системный-управляющий VLAN для переноса пользовательского трафика?

Ivan E. писал(а):
если поднять интерфейс в клиентском влане, а релеить через служебный, то запросы просто идут броадкастом. Если снять ACL, то тогда релей происходит через соседние коммутаторы.
Ivan E. писал(а):
Широковещательно пакет бы не долетел до сервера, так как сеть сегментрована.
Где-то здесь какая-то неоднозначность.

Что такое DHCP-релей, для чего от нужен и как работает.
Нужен он для того, чтобы довести широковещательные пакеты DHCP до сервера.
Область распространения широковещательных пакетов носит название "широковещательный домен" и в практическом смысле совпадает с VLANом и имеет мало общего с понятием "IP-сеть".
Широковещательные пакеты через L2 порт на коммутаторе достигающие L3-интерфейса, указанного в строчке "config dhcp_relay add ipif " обрабатываются (скорее всего, не на аппаратном уровне) сервисом DHCP-релея (L3-коммутатором) на предмет того, что это именно DHCP-сообщение, а не что-то иное, укладываются в unicast пакет с source-адресом DHCP-релея и от уже его имени отправляются указанному DHCP-серверу.

Если широковещательный пакет может достичь DHCP-сервера без участия релея, то релей и не нужен. На DHCP-сервере нужно скофигурировать (в микрософтовской терминологии) "суперсеть" из IP-сетей с нужными Вам пулами адресов этого широковещательного домена. Аналогично - на Linux-FreeBSD-etc.

В любом случае, DHCP-серверу должен быть известны маршруты до всех "его" сетей, и из всех сетей - до DHCP-сервера.

У Вас в широковещательном домене VLANа LOCAL_PPPoE.Lermontova54 могут бегать пакеты сетей 10.0.76.1/24 и 10.128.76.1/24. Вы можете на DHCP-сервере зафиксировать привязки по MAC-адресам и отправлять ответы коммутатору. Необходим ли здесь дополнительно интерфейс DHCPrelay_if и настройки proxy_arp - не скажу :?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 01:25 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Маршрутизация клиентского трафика осуществляется тут же. Для этого подняты секондори интерфейсы на клиентском влане. Систем интерфейс и праймери на клиентском влане используются только для релея клиентского dhcp. Про неоднозначность: имелось ввиду соседние коммутаторы этого сегмента. И еще раз повторюсь: при данной схеме нет связности между клиентскими и служебными сетями.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 08:26 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Ещё раз повторяю, если НЕТ СВЯЗИ МЕЖДУ DHCP-сервером И КЛИЕНТАМИ, то продление времени аренды не будет происходить.
Клиенты ДОЛЖНЫ иметь доступ к DHCP-серверу, чтобы корректно продлить аренду выданного IP-адреса.

И не надо изобретать никакой ерунды с primary, secondary интерфейсами. Так никто не делает.
Чтобы не нарушать безопасность вашей служебной сети - вынестите для DHCP в отдельную подсеть и настройте маршрутизацию с клиентскими подсетями. Настройте relay на новый IP DHCP-сервака и живите спокойно.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 08:55 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Хорошо, хорошо. Не волнуйтесь только. И просто примите как факт: работает. Работает уже несколько лет. Если не верите мне, то сами соберите стенд.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 11:07 
Не в сети

Зарегистрирован: Чт янв 10, 2008 10:35
Сообщений: 272
Работать, может и работает, только зачем так все усложнять?
Это самое простое и безопасное решение:
Цитата:
Чтобы не нарушать безопасность вашей служебной сети - вынестите для DHCP в отдельную подсеть и настройте маршрутизацию с клиентскими подсетями. Настройте relay на новый IP DHCP-сервака и живите спокойно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 12:41 
Не в сети

Зарегистрирован: Вс ноя 15, 2009 16:09
Сообщений: 38
Откуда: Москва
К сожалению, понимания как устроена эта сеть у меня так и не сложилось, и с каждым новым комментарием :shock: запутываюсь всё больше и больше.
Ivan E. писал(а):
И еще раз повторюсь: при данной схеме нет связности между клиентскими и служебными сетями.
Ivan E. писал(а):
Сделали следующем образом: выделили адрес из служебной сети (пришлось сеточку на /30 дать, так как коммутатор не позволяет создать интерфейс с маской /32). На клиентском влане подвешали этот адрес, а адреса клиентских сервисов повешали как секондари.
Ivan E. писал(а):
Маршрутизация клиентского трафика осуществляется тут же. Для этого подняты секондори интерфейсы на клиентском влане. Систем интерфейс и праймери на клиентском влане используются только для релея клиентского dhcp. Про неоднозначность: имелось ввиду соседние коммутаторы этого сегмента.
Что у Вас скрывается за словами "сеть" и "связность"?
Зачем Вы используете дополнительную, третью, IP-сеть в клиентском VLANе для релея? Чем Вас не устраивают существовавшие до того клиентские сети?
Сколько клиентских сетей в клиентском VLANе у Вас обслуживается DHCP-сервером, и как Вы различаете из какой IP-сети пришёл запрос на выделение адреса?
Соседние коммутаторы - L2?
Какими путями распространяется DHCP-запрос (через соседние коммутаторы?) и какие пути Вы хотите использовать?

Может быть, какую-нибудь картинку нарисуете?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 12:52 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Ivan E. писал(а):
Хорошо, хорошо. Не волнуйтесь только. И просто примите как факт: работает. Работает уже несколько лет. Если не верите мне, то сами соберите стенд.

Я уже говорил, что при истечении половины времени лизы, клиент обязан её продлить.
Для этого он отправит ЮНИКАСТ запрос вашему DHCP-серверу, который до него НЕ ДОЙДЕТ, т.к. у вас нет маршрутизации между IP-адресом DHCP-сервера и IP-адресом клиента. Что является некорректным поведением сети.
После истечения 85% времени лизы DHCP-клиент ПОВТОРНО пытается продлить время аренды, отправив соответствующий DHCP-запрос ШИРОКОВЕЩАТЕЛЬНО. Вот тут уже сработает DHCP-relay и вашему клиенту всё таки продлят время аренды.
Но это всё костыли в работе вашей сети, потому что так оно работать не должно.
Правильно сделать так, как я описал выше.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 12:56 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
o_st писал(а):
Зачем Вы используете дополнительную, третью, IP-сеть в клиентском VLANе для релея? Чем Вас не устраивают существовавшие до того клиентские сети?

Затем, чтобы DHCP мог достучаться до дополнительной сети, но не мог достучаться до клиентской для какой-то непонятной "безопасности".
Таким образом обратный пакетик от DHCP-вернется через дополнительный IP-интерфейс и будет переслан клиенту, который после получения IP-адреса никак не сможет увидеть DHCP-сервер.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 08, 2010 13:25 
Не в сети

Зарегистрирован: Вс ноя 15, 2009 16:09
Сообщений: 38
Откуда: Москва
svsh1990 писал(а):
o_st писал(а):
Зачем Вы используете дополнительную, третью, IP-сеть в клиентском VLANе для релея? Чем Вас не устраивают существовавшие до того клиентские сети?

Затем, чтобы DHCP мог достучаться до дополнительной сети, но не мог достучаться до клиентской для какой-то непонятной "безопасности".
Таким образом обратный пакетик от DHCP-вернется через дополнительный IP-интерфейс и будет переслан клиенту, который после получения IP-адреса никак не сможет увидеть DHCP-сервер.
О! Спасибо огромное.
Я смутно помнил слова из RFC о том, что DHCP-сервер перед выделением адреса должен проверить, что адрес ещё не распределён - и вопрос видимости клиентской сети от DHCP-сервера мне казался сам собой разумеющимся.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB