Alcatel 6224 и option82 - настройка коммутатора

[muff 116]

Здравствуйте.

 

Необходимо настроить на коммутатор Alcatel 6224 поддежку DHCP snooping и опции 82. Зазеркалировал порт и проснифферил траффик - опция 82 в DHCP-запрос не добавляется (см. аттач).

 

Кто-то уже Alcatel 6224 настраивал на подобную связку? Можете листинг комманд предоставить, а то что-то не могу вкурить, что пропустил.

Версия прошивки - 1.7.1.10.

 

Буду оч. благодарен за помощь.

[][-RaY 387]

В понедельник отправлю, все работает там отлично )

[VitalVas 14]

configure

ip dhcp snooping

ip dhcp snooping vlan 123

ip dhcp snooping information option allow-untrusted

interface ethernet g1

ip dhcp snooping trust

 

RTFM

[muff 116]

Вроде по аналогии все комманды и присутствуют...

А как форвардить запросы на определенный айпишник DHCP-сервера, или такой возможности нету?

[VitalVas 14]

в этом алкателе нету

у меня форвардатся пакеты на уровне агрегации сети(там л3 стоит)

[muff 116]

Опцию 82 в запросе увидел. Но кажется "напутал" в dhcpd.conf:

Jun 18 17:28:57 test dhcpd: DHCPDISCOVER from 00:19:db:33:aa:25 via vlan4000: network 10.196.101.32/27: no free leases
Jun 18 17:29:28 test last message repeated 4 times

 

Кто-то поделится dhcpd.conf?

[VitalVas 14]

Смотри, этот алкатель шлет информацию о порте в таком виде "стек/порт"

 

встав себе такое логирования

if exists agent.remote-id and exists agent.circuit-id {
log("");
 log(info,concat("DHCPCIRCUIT for lease of ",binary-to-ascii(10,8,".",leased-address),
" is connected to interface ",binary-to-ascii(10,8,"/",suffix(option agent.circuit-id,2)),
", VLAN ",binary-to-ascii(10,16,"",substring(option agent.circuit-id,2,2)),
" on switch ",binary-to-ascii(16,8,":",substring(option agent.remote-id,2,6))
 ));
 log(info,concat("DHCPOPT82 for lease of ",binary-to-ascii(10,8,".",leased-address),
" raw option-82 info is CID: ",binary-to-ascii(10,8,".",option agent.circuit-id),
" AID: ",binary-to-ascii(16,8,".",option agent.remote-id)
 ));
log("");
} elsif exists agent.remote-id {
log("");
 log(info,concat("DHCPAGENT for lease of ",binary-to-ascii(10,8,".",leased-address),
" on agent ",binary-to-ascii(16,8,":",substring(option agent.remote-id, 2, 6))
 ));
log("");
} elsif exists agent.circuit-id {
log("");
 log(info,concat("DHCPCIRCUITID on ",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,1,1))),2),":",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,2,1))),2),":",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,3,1))),2),":",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,4,1))),2),":",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,5,1))),2),":",
suffix(concat("0",binary-to-ascii(16,8,"",substring(hardware,6,1))),2),
" to ",binary-to-ascii(10,8,".",leased-address),
" via ",option agent.circuit-id
 ));
log("");
}

 

дать ір клиенту

 

class "host-10.3.10.24-class" { match if binary-to-ascii (16, 8, ":", suffix ( option agent.remote-id, 6)) = "0:12:cf:5b:95:e0" and binary-to-ascii(10, 8, "", substring(option agent.circuit-id, 5, 1)) =  "24"; }
pool { range 10.3.10.24; allow members of "host-10.3.10.24-class";}

[Mechanik 49]

ip source guard есть в этой железке?

дайте ссылку на мануал плиз

[muff 116]

Да, есть.

С dhcp snooping разобрался. Вот как раз до source guard добрался. Маны в аттаче.

OS6200-v17x User Guide.pdf

OS6200-v17x Command Line Interface User Guide.pdf

[Mechanik 49]

ок, спасибо

уже все нашел

[muff 116]

По ходу полностью "допилил" связку DHCP snooping + Option 82 + Source Guard + ARP Inspection.

 

Конфиг коммутатора:

 

interface range ethernet e(1-24)
spanning-tree portfast auto
exit
interface range ethernet g(1-4)
switchport mode general
exit
vlan database
vlan 4000,4050
exit
interface ethernet g1
switchport general pvid 4000
exit
interface ethernet g2
switchport general pvid 4000
exit
interface ethernet g3
switchport general pvid 4000
exit
interface ethernet g4
switchport general pvid 4000
exit
interface range ethernet e(1-24)
switchport access vlan 4000
exit
interface range ethernet g(1-4)
switchport general allowed vlan add 4000
exit
interface range ethernet g(1-4)
switchport general allowed vlan add 4050
exit
interface vlan 4050
name Mng
exit
ip dhcp snooping
ip dhcp snooping vlan 4000
interface ethernet g1
ip dhcp snooping trust
exit
ip arp inspection
ip arp inspection vlan 4000
interface ethernet g1
ip arp inspection trust
exit
interface ethernet g2
ip arp inspection trust
exit
interface ethernet g3
ip arp inspection trust
exit
interface ethernet g4
ip arp inspection trust
exit
ip source-guard
interface ethernet e1
ip source-guard
exit
interface ethernet e2
ip source-guard
exit
interface ethernet e3
ip source-guard
exit
interface ethernet e4
ip source-guard
exit
interface ethernet e5
ip source-guard
exit
interface ethernet e6
ip source-guard
exit
interface ethernet e7
ip source-guard
exit
interface ethernet e8
ip source-guard
exit
interface ethernet e9
ip source-guard
exit
interface ethernet e10
ip source-guard
exit
interface ethernet e11
ip source-guard
exit
interface ethernet e12
ip source-guard
exit
interface ethernet e13
ip source-guard
exit
interface ethernet e14
ip source-guard
exit
interface ethernet e15
ip source-guard
exit
interface ethernet e16
ip source-guard
exit
interface ethernet e17
ip source-guard
exit
interface ethernet e18
ip source-guard
exit
interface ethernet e19
ip source-guard
exit
interface ethernet e20
ip source-guard
exit
interface ethernet e21
ip source-guard
exit
interface ethernet e22
ip source-guard
exit
interface ethernet e23
ip source-guard
exit
interface ethernet e24
ip source-guard
exit
interface vlan 4050
ip address 10.0.0.5 255.255.255.0
exit
ip default-gateway 10.0.0.1
hostname Alc-test-sw
username muff password 4c87d8ad************************e9 level 15 encrypted

 

В dhcp.conf соответственно:

option domain-name "test.com";
option domain-name-servers 8.8.8.8;
log-facility local7;
default-lease-time 600;
max-lease-time 600;
ddns-update-style none;
local-address 10.0.0.1;
authoritative;


if exists agent.circuit-id
{
   log(info, concat("Lease"," IP ",binary-to-ascii(10, 8,".",leased-address),
                   " MAC ",binary-to-ascii(16,8,":",substring(hardware,1, 6)),
                   " port ",binary-to-ascii(10,8, "",suffix(option agent.circuit-id, 1)),
                   " VLAN ",binary-to-ascii(10, 16,"",substring(option agent.circuit-id, 2, 2))
                   )
     );
}

class "sw1-p2" { match if binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 5)) = "12:cf:5b:00:00" and binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "2"; }

       subnet 10.10.0.0 netmask 255.255.255.0
       {
       option routers 10.10.0.254;
       pool { range 10.10.0.34; allow members of "sw1-p2"; }
       }

 

Замечания и пожелания приветствуются.

[Кеша 546]

Ерунда с этим алкателем.

 

включаю 

 

interface ethernet g1
ip dhcp snooping trust
 

ip dhcp snooping vlan 154
 

появляются привязки

 

sho ip dhcp snooping binding
Total number of binding: 2

   MAC Address       IP Address    Lease (sec)     Type    VLAN Interface
------------------ --------------- ------------ ---------- ---- ----------
e8:65:d4:b1:99:b0  10.20.0.235     578          learned    154  g3
f8:1a:67:4b:54:4f  10.20.21.5      485          learned    154  g3
 

и все, труба, у клиента Ip прокисает через минуту и лиза не продляется.