Настройка DHCP relay

[Life]

Доброго дня !
Помогите новичкам.
Имеются несколько MES2124P и один MES3124.
Имеется DHCP сервер на базе Win 2k8 R2.

Все 2124 подключены на 3124 - порты 1-4 соответственно (в транках). Сервер подключен в порт 5(аксесс). На сервере настроен мультископ 10.10.10.0/24, 10.10.20.0/24, 10.10.30.0/24,10.10.40.0/24. Сам сервер в 10.10.50.0/24.

на 3124 настроены интерфейсы 5ти вланов (10,20,30,40,50) с адресами 10.10.xx.1 /24 .

Клиенты сидят на 2124 . Порты в аксесс, аплинки в транке.

Задача: Выдавать клиентам адреса в зависимости от VLAN'а порта, в которы они подключаются.

Как правильно настроить DCP Relay ? надо ли настраивать на 2124 или достаточно настроить только на 3124 ?
В мануале есть функция защиты от "нехороших" дхцп серверов. Как правильно реализовать ?

[Евгений Т]

Добрый день.

Правильно ли я понимаю, что на каждый MES2124 идет свой клиентский влан?
Если так, то dhcp relay можно настроить на MES3124, а опцию 82 повесить на MES2124.

Предполагаемый конфиг для MES3124 (на примере клиентского влан 20)

ip dhcp relay address <address of server>
ip dhcp relay enable
ip dhcp snooping information option allowed-untrusted
ip dhcp snooping
ip dhcp snooping vlan 20
!
vlan database
vlan 10,20
exit
!
interface gigabitethernet 1/0/2
switchport mode trunk
switchport switchport allow vlan add 20
exit
!
interface gigabitethernet 1/0/5
ip dhcp snooping trust
switchport access vlan 50
exit
!
interface vlan 50
ip address 10.10.50.xxx 255.255.255.0
exit
!
interface vlan 20
ip address 10.10.20.xxx 255.255.255.0
ip dhcp relay enable
exit

Предполагаемый конфиг MES2124

ip dhcp snooping
ip dhcp snooping vlan 20
ip dhcp information option
!
int gi 0/xxx (аплинк порт)
ip dhcp snooping trust
ex

В мануале есть функция защиты от "нехороших" дхцп серверов. Как правильно реализовать ?

dhcp snooping направляет клиентские запросы только на трастовые порты. Поэтому при такой настройке вы автоматом защититесь и от подмены dhcp сервера.

[Life]

Не совсем так. Но в принципе верно. Помимо клиентского vlan передаётся тегом управляющий.
Схемка на картинке.
Красным одиночным - аксесс vlan, красным через запятую - транки.

схемка.png (37.04 КБ) 16361 просмотр

В принципе всё понятно. Думаю что при моей схеме конфигурация практически такая же. Только для управляющего vlan нет dhcp сервера, адреса ручками пишуся.


Евгений, попутно вопрос - на порту 6 будет подключен роутер (будет на vlan 200 например, "смотрящий" в инет другим концом. Каким образом прописать маршрут последней надежды для 3124 ? необходимо чтоб клиенты с каждого vlan выходили в инет . или необходимо вручную заполнять таблицу маршрутизации ?

[Евгений Т]

В принципе всё понятно. Думаю что при моей схеме конфигурация практически такая же. Только для управляющего vlan нет dhcp сервера, адреса ручками пишуся.

Ну суть конфига, приложенного мной, от этого не изменится. Только влан надо поменять. А для управляющего влан dhcp сервер и не нужен. Прокиньте транком влан просто и все.

Евгений, попутно вопрос - на порту 6 будет подключен роутер (будет на vlan 200 например, "смотрящий" в инет другим концом. Каким образом прописать маршрут последней надежды для 3124 ? необходимо чтоб клиенты с каждого vlan выходили в инет . или необходимо вручную заполнять таблицу маршрутизации ?

На месе маршруты не потребуются. На нем будут терминироваться подсети.
Маршруты клиентам должен выдавать dhcp server. В качестве шлюза будет выступать интерфейс MES3124 в том или ином клиентском влан.

[Life]

На месе маршруты не потребуются. На нем будут терминироваться подсети.
Маршруты клиентам должен выдавать dhcp server. В качестве шлюза будет выступать интерфейс MES3124 в том или ином клиентском влан.

Сервер DHCP выдаст маршрут для каждого vlan на интерфейс соответствующего vlan на 3124.
Т.е, для 110 VLAN выдаст ip 10.22.110.1 (ip vlan 110 на 3124).
для 120 VLAN выдаст ip 10.22.120.1 (ip vlan 120 на 3124).

Вопрос в том , как клиент, например в 110 vlan будет обращаться в глобальную сеть ? откуда он возьмёт маршрут, что , например на 8.8.8.8 он должен обратиться через vlan роутера (пусть будет 200), который в свою очередь его выведет в инет?

[Евгений Т]

Вопрос в том , как клиент, например в 110 vlan будет обращаться в глобальную сеть ? откуда он возьмёт маршрут, что , например на 8.8.8.8 он должен обратиться через vlan роутера (пусть будет 200), который в свою очередь его выведет в инет?

Допустим клиент сидит в 120 влан. В 120 влан на MES3124 прописан адрес 10.22.120.1 /24. Этот адрес и будет являться шлюзом для клиента.
В итоге dhcp сервер вместе с адресом из подсети 10.22.120.0 /24 выдаст клиенту и дефолтный маршрут. В котором сказано, что в подсеть
0.0.0.0 /0 он сможет попасть через шлюз 10.22.120.1.

[Life]

принял. вопрос был именно про маршрут на самом 3124.
собственно телефонным путём выяснили
огромное спасибо за помощь, пойду пробовать

[Life]

dhcp snooping направляет клиентские запросы только на трастовые порты. Поэтому при такой настройке вы автоматом защититесь и от подмены dhcp сервера.


int gi 0/xxx (аплинк порт)
ip dhcp snooping trust
ex

А в случае аплинка , который в режиме транка как поступать?
Трастить сам аплинковский порт (на нём управляющий и пользовательский vlan) или интерфейс vlan?

[Евгений Т]

Настройки dhcp snooping никак не зависят от режима порта. Вы можете сделать трастовым порт, находящийся хоть в access, хоть в транк режиме. Трастовым порт будет в том влан, в котором вы включили dhcp snooping. На dhcp трафик в других влан действие данной настройки распространяться не будет.

[Life]

Огромная благодарность Вам, Евгений !

Всё настроил - всё работает !

[Life]

Добрый день.

Правильно ли я понимаю, что на каждый MES2124 идет свой клиентский влан?
Если так, то dhcp relay можно настроить на MES3124, а опцию 82 повесить на MES2124.

Предполагаемый конфиг для MES3124 (на примере клиентского влан 20)

ip dhcp relay address <address of server>
ip dhcp relay enable
ip dhcp snooping information option allowed-untrusted
ip dhcp snooping
ip dhcp snooping vlan 20
!
interface gigabitethernet 1/0/5
ip dhcp snooping trust
switchport access vlan 50
exit

Евгений, сегодня случайно просматривал конфиг агрегирующего коммутатора, и возник вопрос: какой смысл от команды "ip dhcp snooping information option allowed-untrusted " на агрегирующем коммутаторе, если dhcp-сервер сидит в 5 порту и порт добавлен в трастовые ?
Эта команда позволяет принимать запросы от всех недоверенных портов насколько я понял. Т.е. если я ещё на каком либо порту вкорячу dhcp-сервер то он будет выдаваться адрес от сервера, который быстрее всего ответил. Правильно ?
Сегодня с коллегой что то сильно задумались над этим. Хотелось бы понять.
По идее одной команды ip dhcp snooping trust на порту 5 (где сидит сервер) должно хватить, ведь мы только оттуда принимаем ответы от сервера.

[Евгений Т]

Код: Выделить всё

Эта команда позволяет принимать запросы от всех недоверенных портов насколько я понял.

Эта команда позволяет пропускать DHCP пакеты с опцией 82 с недоверенных портов. Об этом написано в документации.
Нужна она в соответствии с моим предыдущим комментарием:

Если так, то dhcp relay можно настроить на MES3124, а опцию 82 повесить на MES2124.

Если у вас опция 82 снизу не приходит, то данная команда и не нужна.

[Life]

Код: Выделить всё

Эта команда позволяет принимать запросы от всех недоверенных портов насколько я понял.

Эта команда позволяет пропускать DHCP пакеты с опцией 82 с недоверенных портов. Об этом написано в документации.
Нужна она в соответствии с моим предыдущим комментарием:

Если так, то dhcp relay можно настроить на MES3124, а опцию 82 повесить на MES2124.

Если у вас опция 82 снизу не приходит, то данная команда и не нужна.

Благодарю. Проверил - без неё не пашет

[ckey]

Добрый день!

Прошу помочь с настройкой либо DHCP Relay либо ip helper-address
Не знаю, принято ли тут создавать новые темы со схожими проблемами, свою опишу в этой.

Сперва, каким образом возможно реализовать перенаправление запросов через параметр ip helper-address на vlan-интерфейсах?
Пробовал по аналогии с cisco, но тут выходит, что перед параметром ip сервера назначения требуется указать некий ip-адрес или все IP интерфейсы. Пробовал по-разному, в частности предположил, что требуется указать ip-адрес настраиваемого vlan - но тогда возникает ошибка "UDP port 53 is busy.":

Код: Выделить всё

# conf
# int vlan101
# ip helper-address 192.168.101.1 192.168.64.1


Решил пойти путём настройки dhcp-relay, но и тут возникли сложности. Использовал информацию из этот статьи:
http://kcs.eltex.nsk.ru/articles/1214

Прошу помочь разобраться

Текущая сеть:
DHCP на Windows Server
192.168.64.0 /22
В качестве Core используется DGS-3612 без каких либо настроек, кроме включенной защиты от петель и настроенного статического ip.

Что пробую сделать:

1. Создать несколько vlan с получением настроек от dhcp-сервера, к примеру:
Vlan 101 – 192.168.101.0 /24 (сегмент 1)
Vlan 110 – 10.11.0.0 /24 (сегмент 2)
Vlan 112 – 10.11.2.0 /23 (сегмент 3)

2. Настроить маршрутизацию между всеми vlan, кроме vlan 101 – к нему только в одностороннем порядке: доступ к нему, но не от него. Так понимаю, решается ACL.

Что осталось в наследство и что сделано:

001.png (13.17 КБ) 8690 просмотров

DHCP Windows Server (64.1)
Осталась создана область 192.168.64.0 /22

Дополнительно создал области:
192.168.101.0 /24 – gw 192.168.101.1
10.11.0.0 /24 – gw 10.11.0.1
10.11.2.0 /23 – gw 10.11.2.1

На DGS-3612 (192.168.64.10):
Созданы vlan 101, 110, 112, 114
Порт 10 переведён в trunk с vlan 101, 110, 112

На MES2324 (192.168.64.76):
Созданы vlan 101, 110, 112
Назначены ip vlan-интерфейсам:
vlan 101 – 192.168.101.1 ;
vlan 110 – 10.11.0.1 ;
vlan 112 – 10.11.2.1 ;
Порт 21 переведён в trunk с vlan 101, 110, 112
Порт 1 access vlan 101
Порт 2 access vlan 110
Порт 3 access vlan 112
Порт 5 access vlan 112
Остальные порты по-умолчанию
Включён DHCP Relay ; указан сервер 192.168.64.1
ip routing
На интерфейсах vlan параметр dhcp relay enable

В итоге при подключении к портам с vlan 101, 110 или 112 получение настроек не происходит


Были подозрения, что возможно всё же на DGS-3612 что-то режет, поэтому попробовал воткнуть DHCP сервер и рабочий ноутбук напрямую в MES2324 (192.168.64.76) - в порты 3 (сервер) и 5 (ноутбук).

Сначала 3 порт в access vlan 1, 5 порт в access vlan 112;
Затем оба порта в access vlan 112 - без результата, ноутбук настройки не получил.
При подключении обоих в vlan 1 (любой порт с 6 по 20) всё ок, настройки получает от DHCP из области 192.168.64.0 /22
В чём может быть причина?

003.png (8.98 КБ) 8690 просмотров

Конфиг MES2324 (64.76):

Код: Выделить всё

vlan database
 vlan 101,110,112
exit
!
ip dhcp relay address 192.168.64.1
ip dhcp relay enable
ip dhcp relay information option suboption-type custom
!
interface gigabitethernet1/0/1
 switchport access vlan 101
exit
!
interface gigabitethernet1/0/2
 switchport access vlan 110
exit
!
interface gigabitethernet1/0/3                       
 switchport access vlan 112
exit
!
interface gigabitethernet1/0/5
 switchport access vlan 112
exit
!
interface gigabitethernet1/0/21
 switchport mode trunk
 switchport trunk allowed vlan add 101,110,112
exit
!
interface gigabitethernet1/0/22
 switchport mode trunk
 switchport trunk allowed vlan add 101,110,112
exit
!
interface vlan 101                                   
 name DMZ
 ip address 192.168.101.1 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 110
 name server
 ip address 10.11.0.1 255.255.255.0
 ip dhcp relay enable
exit
!
interface vlan 112
 name sw-control
 ip address 10.11.2.1 255.255.254.0
 ip dhcp relay enable
exit                                         
!
!


[Евгений Т]

Здравствуйте.

В качестве Core используется DGS-3612 без каких либо настроек, кроме включенной защиты от петель и настроенного статического ip.

Не очень понял как организована схема. Если на длинке нет маршрутизации, то получается между сервером и коммутатором нет связности. Сервер должен пинговаться с коммутатора.

Т.е нужно на коммутаторе создать интерфейс с IP из 192.168.64.0 /22. Проверить доступность до сервера.
На сервере должны быть созданы три пула адресов
192.168.101.0 /24
10.11.0.0 /24
10.11.2.0 /23
При этом не надо их разбрасывать по вланам.
В зависимости от giaddr dhcp пакета, прилетающего с коммутатора, сервер должен выдавать клиенту адрес из того или иного пула.
Также на сервере нужно прописать маршруты до
192.168.101.0 /24
10.11.0.0 /24
10.11.2.0 /23
через IP адрес коммутатора из 192.168.64.0 /22.