Доброго дня!
Прошу помощи, кто может подсказать, почему не выдаются ip по dhcp.
На интерфейсе висит две сети 192.168.70.0 и 192.168.71.0, как secondary.
Интернет на обоих работает, если вбивать ip руками в компы.
Создаю пул dhcp c network 192.168.71.0 255.255.255.0 и default-router 192.168.71.1, но ip оттуда не выдаются, да, служба service dhpc включена. Выдается ip из dhcp только если повесить туда сетку 192.168.70.0/24, но т.к. она почти вся занята, хочется перейти на свободную 192.168.71.0/24.
DHCP висит на каталисте3560, а роутер у нас 3825.

-------
Конфиг интерфейса и acl роутера3825:

interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.10.95 91.197.10.96 netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny   ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255
--------

Конфиг свитча3560, на котором висит сам DHCP и не раздает ипы:

ip subnet-zero
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
   network 192.168.71.0 255.255.255.0
   default-router 192.168.71.1
   dns-server 91.197.1.1
   domain-name dhcp.xxxx
!
access-list 2 permit 82.198.164.22
access-list 2 deny   any

• DHCP c локального secondary интерфейса ,Virtual77, 14:42 , 01-Апр-14
  • DHCP c локального secondary интерфейса ,Virtual77, 14:53 , 01-Апр-14
    • DHCP c локального secondary интерфейса ,tolyanich139, 15:47 , 01-Апр-14
      • DHCP c локального secondary интерфейса ,Virtual77, 16:47 , 01-Апр-14
        • DHCP c локального secondary интерфейса ,Virtual77, 17:04 , 01-Апр-14
        • DHCP c локального secondary интерфейса ,tolyanich139, 13:34 , 03-Апр-14
      • DHCP c локального secondary интерфейса ,ovdp, 16:52 , 01-Апр-14
        • DHCP c локального secondary интерфейса ,Virtual77, 17:12 , 01-Апр-14
          • DHCP c локального secondary интерфейса ,Virtual77, 17:15 , 01-Апр-14
          • DHCP c локального secondary интерфейса ,tolyanich139, 16:54 , 03-Апр-14
        • DHCP c локального secondary интерфейса ,Merridius, 17:13 , 01-Апр-14
          • DHCP c локального secondary интерфейса ,Virtual77, 17:19 , 01-Апр-14
• DHCP c локального secondary интерфейса ,Virtual77, 18:51 , 01-Апр-14
  • DHCP c локального secondary интерфейса ,tolyanich139, 12:33 , 03-Апр-14
    • DHCP c локального secondary интерфейса ,Virtual77, 16:55 , 04-Апр-14

>[оверквотинг удален]
> ip dhcp ping packets 0
> !
> ip dhcp pool DHCP
>    network 192.168.71.0 255.255.255.0
>    default-router 192.168.71.1
>    dns-server 91.197.1.1
>    domain-name dhcp.xxxx
> !
> access-list 2 permit 82.198.164.22
> access-list 2 deny   any

может проще будет обе железки стыковать trunk портами, на 3560 поднять 2 VLAN интерфейса и в них уже настаивать DHCP пулы, порты на 3560 распределить по VLAN-ам
зачем этот геморрой с secondary?

так же не понятно какой IP на 3560 каталисте? от какого IP он будет раздавать адреса, наверное все-таки у него должен быть назначен ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я бы все таки разрулил это все счастье VLAN-ми через trunk порты.

>[оверквотинг удален]
>> access-list 2 permit 82.198.164.22
>> access-list 2 deny   any
> может проще будет обе железки стыковать trunk портами, на 3560 поднять 2
> VLAN интерфейса и в них уже настаивать DHCP пулы, порты на
> 3560 распределить по VLAN-ам
> зачем этот геморрой с secondary?
> так же не понятно какой IP на 3560 каталисте? от какого IP
> он будет раздавать адреса, наверное все-таки у него должен быть назначен
> ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я
> бы все таки разрулил это все счастье VLAN-ми через trunk порты.

короче нужна более детальная схема, и более полные конфиги.

>>[оверквотинг удален]
> короче нужна более детальная схема, и более полные конфиги.

вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно)

конфиг 3825:
--------------
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
ip flow-egress input-interface
ip flow-cache timeout active 1
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
voice-card 0
no dspfarm
!
!
username xxx
!
interface GigabitEthernet0/0
ip address 91.xxx.xxx.xxx 255.255.255.0
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip policy route-map MAP
duplex auto
speed auto
media-type rj45
arp timeout 600
!
interface GigabitEthernet0/1
no ip address
ip route-cache flow
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 2
ip address 10.1.3.241 255.255.255.252
!
interface GigabitEthernet0/1.50
encapsulation dot1Q 50
ip access-group 100 in
ip flow ingress
ip flow egress
!
interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 91.197.xxx.xxxx
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.xxx.xxx 91.197.xxx.xxx netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
logging trap debugging
logging origin-id hostname
logging facility daemon
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny   ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255!
!
control-plane
!
end
---------------

конфиг 3560 с поднятым DHCP:
---------------
aaa session-id common
regexp optimize
system mtu routing 1500
ip subnet-zero
no ip domain-lookup
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
   network 192.168.71.0 255.255.255.0
   default-router 192.168.71.1
   dns-server 91.197.xxx.xxx
   domain-name dhcp.xxx
!
!
mls qos
!
!
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
policy-map pm_test
!
!
interface GigabitEthernet0/1
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/2
!
..много интерфейсов..
!
interface Vlan70
ip address 192.168.70.2 255.255.255.0
!
ip default-gateway 10.1.3.241
ip classless
no ip http server
!
!
access-list 2 deny any
!
control-plane
!
!
end
-----

Заранее спасибо!

>>>[оверквотинг удален]
>> короче нужна более детальная схема, и более полные конфиги.
> вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно)

мое мнение  на 3825 надо удалить секондари

потом добавить новый интерфейс

interface GigabitEthernet0/1.71
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly

на 3560
создать VLAN 71
vlan 71

назначить ему IP

interface Vlan71
ip address 192.168.71.2 255.255.255.0

порты которые хочешь засунуть в 70 сетку

switchport
switchport mode access
switchport access vlan70

порты которые хочешь засунуть в 71 сетку

switchport
switchport mode access
switchport access vlan71

в таком случае все должно заработать
сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул 192.168.71.0/24

так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
распихай порты по VLAN-ам (70 и 71) в таком случае все заработает.

>>>>[оверквотинг удален]

и еще, подумал, в такой схеме агрегированием локального трафика будет заниматься 3825 отсюда следует трафик пробегает и 3560 и 3825 - налицо лишняя нагрузка на обе железки
т.к. 3560 это L3 свитч с поддержкой ACL может тебе есть смысл агрегировать локальный трафик на 3560 и туда же перенести ACL, а между 3825 и 3560 поднять линк точка-точка например 192.168.255.252/30 ?????
в такой схеме разргузишь 3825 (который у тебя вроде занимается ресурсоемким NAT-ом) и локальный трафик не будет бегать через 3825 а будет ходить внутри 3560 каталисты. Смотри сам как тебе легче все зависит от конкретных задач.

> порты которые хочешь засунуть в 71 сетку
> switchport
> switchport mode access
> switchport access vlan71
> в таком случае все должно заработать
> сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP
> 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул
> 192.168.71.0/24
> так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
> распихай порты по VLAN-ам (70 и 71) в таком случае все заработает.

спасибо за помощь!
так не получится, потому что dhcp нужен для точек доступа, которые раскиданы по многим портам каталиста3560

с секондари интерфейсов dhcp просто не раздается. делать 2 сабинтерфеса и транком на каталик. dhcp должен быть настроен там где есть интерфейс с адресом из данной подсети

>[оверквотинг удален]
> !
> !
> access-list 2 deny any
> !
> control-plane
> !
> !
> end
> -----
> Заранее спасибо!

>[оверквотинг удален]
>> !
>> !
>> access-list 2 deny any
>> !
>> control-plane
>> !
>> !
>> end
>> -----
>> Заранее спасибо!

у тебя сейчас DHCP настроен не в той подсети, попробуй смени на 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает

я тебе и говорю что секондари и не нужен, тут нужно поднять сабинтерфейс gi0/1.71 и вытянуть его на 3560 а на 3560 создать интерфейс-вилан с ip 192.168.71.2 255.255.255.0
порты распихать по vlan-ам

то что ты затеял .... с секондари - не получиться, это не правильная схема (мое мнение, так сети не строят)

>>[оверквотинг удален]

пробуй сменить IP на 3560
вместо 192.168.70.2 255.255.255.0
пропиши 192.168.71.2 255.255.255.0
или попробуй на 3560 в 70вилане добавь ip add 192.168.71.2 255.255.255.0 secondary
если даст, живого каталиста под рукой нету не могу проверить возможность добавления на каталисте секондари в вилан-интерфейсе.

> у тебя сейчас DHCP настроен не в той подсети, попробуй смени на
> 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает

Cпасибо! Помогло!

interface Vlan70
ip address 192.168.71.2 255.255.255.0 secondary
ip address 192.168.70.2 255.255.255.0

Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в GI адрес secondary ip.

> Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP
> Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в
> GI адрес secondary ip.

все верно но в таком случае ему прийдется все DHCP пулы перенести на 3825 циску, агрегирование локального трафика сделать на 3560 каталисте(как я и говорил) и на нем же поднять dhcp smart-relay, и уже в интерфейсах 3560 каталиста прописать ip helper-address DHCP сервера развернутого на 3825 циске
это будет наверное самый правильный вариант, но на сколько я понял на усложнение схемы терминирования/агрегирования трафика он не готов идти.

кстати еще можно сменить маску сети и не парится
например взять сеть 192.168.70.0/23 (255.255.254.0)
и переписать все ACL

to tolyanich139
чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект http://fttbkhv.ru/test/temp.rar посмотри
я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я не знаю что там у тебя за 3560 живет)
на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP маршрутизатора.......
короче разберешься  я думаю.

> to tolyanich139
> чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю
> сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект
> http://fttbkhv.ru/test/temp.rar посмотри
> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
> не знаю что там у тебя за 3560 живет)
> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
> маршрутизатора.......
> короче разберешься  я думаю.

большое спасибо!
а в какой версии трейсера делали проект, ни в 5 ни в 6 не открывается =(

>[оверквотинг удален]
>> http://fttbkhv.ru/test/temp.rar посмотри
>> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
>> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
>> не знаю что там у тебя за 3560 живет)
>> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
>> маршрутизатора.......
>> короче разберешься  я думаю.
> большое спасибо!
> а в какой версии трейсера делали проект, ни в 5 ни в
> 6 не открывается =(

6.0.1.0011