The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DHCP c локального secondary интерфейса "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"DHCP c локального secondary интерфейса "  +/
Сообщение от tolyanich139 (ok) on 01-Апр-14, 12:51 
Доброго дня!
Прошу помощи, кто может подсказать, почему не выдаются ip по dhcp.
На интерфейсе висит две сети 192.168.70.0 и 192.168.71.0, как secondary.
Интернет на обоих работает, если вбивать ip руками в компы.
Создаю пул dhcp c network 192.168.71.0 255.255.255.0 и default-router 192.168.71.1, но ip оттуда не выдаются, да, служба service dhpc включена. Выдается ip из dhcp только если повесить туда сетку 192.168.70.0/24, но т.к. она почти вся занята, хочется перейти на свободную 192.168.71.0/24.
DHCP висит на каталисте3560, а роутер у нас 3825.

-------
Конфиг интерфейса и acl роутера3825:

interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.10.95 91.197.10.96 netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny   ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255
--------

Конфиг свитча3560, на котором висит сам DHCP и не раздает ипы:

ip subnet-zero
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
   network 192.168.71.0 255.255.255.0
   default-router 192.168.71.1
   dns-server 91.197.1.1
   domain-name dhcp.xxxx
!
access-list 2 permit 82.198.164.22
access-list 2 deny   any

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 14:42 
>[оверквотинг удален]
> ip dhcp ping packets 0
> !
> ip dhcp pool DHCP
>    network 192.168.71.0 255.255.255.0
>    default-router 192.168.71.1
>    dns-server 91.197.1.1
>    domain-name dhcp.xxxx
> !
> access-list 2 permit 82.198.164.22
> access-list 2 deny   any

может проще будет обе железки стыковать trunk портами, на 3560 поднять 2 VLAN интерфейса и в них уже настаивать DHCP пулы, порты на 3560 распределить по VLAN-ам
зачем этот геморрой с secondary?

так же не понятно какой IP на 3560 каталисте? от какого IP он будет раздавать адреса, наверное все-таки у него должен быть назначен ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я бы все таки разрулил это все счастье VLAN-ми через trunk порты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 14:53 
>[оверквотинг удален]
>> access-list 2 permit 82.198.164.22
>> access-list 2 deny   any
> может проще будет обе железки стыковать trunk портами, на 3560 поднять 2
> VLAN интерфейса и в них уже настаивать DHCP пулы, порты на
> 3560 распределить по VLAN-ам
> зачем этот геморрой с secondary?
> так же не понятно какой IP на 3560 каталисте? от какого IP
> он будет раздавать адреса, наверное все-таки у него должен быть назначен
> ip из сети 192.168.71.0/24 и возможно тогда все взлетит, хотя я
> бы все таки разрулил это все счастье VLAN-ми через trunk порты.

короче нужна более детальная схема, и более полные конфиги.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DHCP c локального secondary интерфейса "  +/
Сообщение от tolyanich139 (ok) on 01-Апр-14, 15:47 
>>[оверквотинг удален]
> короче нужна более детальная схема, и более полные конфиги.

вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно)

конфиг 3825:
--------------
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
ip flow-egress input-interface
ip flow-cache timeout active 1
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
voice-card 0
no dspfarm
!
!
username xxx
!
interface GigabitEthernet0/0
ip address 91.xxx.xxx.xxx 255.255.255.0
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip policy route-map MAP
duplex auto
speed auto
media-type rj45
arp timeout 600
!
interface GigabitEthernet0/1
no ip address
ip route-cache flow
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 2
ip address 10.1.3.241 255.255.255.252
!
interface GigabitEthernet0/1.50
encapsulation dot1Q 50
ip access-group 100 in
ip flow ingress
ip flow egress
!
interface GigabitEthernet0/1.70
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0 secondary
ip address 192.168.70.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 91.197.xxx.xxxx
!
no ip http server
no ip http secure-server
ip nat pool lan70 91.197.xxx.xxx 91.197.xxx.xxx netmask 255.255.255.0
ip nat inside source list 70 pool lan70 overload
!
logging trap debugging
logging origin-id hostname
logging facility daemon
access-list 2 permit 82.198.164.22
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.50.50.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 70 permit 192.168.70.0 0.0.0.255
access-list 70 permit 192.168.71.0 0.0.0.255
access-list 71 permit 192.168.71.0 0.0.0.255
access-list 100 dynamic NETAMS deny   ip any any
access-list 100 permit ip any any
access-list 170 permit ip any 192.168.70.0 0.0.0.255
access-list 171 permit ip any 192.168.70.0 0.0.0.255!
!
control-plane
!
end
---------------

конфиг 3560 с поднятым DHCP:
---------------
aaa session-id common
regexp optimize
system mtu routing 1500
ip subnet-zero
no ip domain-lookup
ip dhcp excluded-address 192.168.71.1
ip dhcp excluded-address 192.168.71.255
ip dhcp ping packets 0
!
ip dhcp pool DHCP
   network 192.168.71.0 255.255.255.0
   default-router 192.168.71.1
   dns-server 91.197.xxx.xxx
   domain-name dhcp.xxx
!
!
mls qos
!
!
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
policy-map pm_test
!
!
interface GigabitEthernet0/1
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet0/2
!
..много интерфейсов..
!
interface Vlan70
ip address 192.168.70.2 255.255.255.0
!
ip default-gateway 10.1.3.241
ip classless
no ip http server
!
!
access-list 2 deny any
!
control-plane
!
!
end
-----

Заранее спасибо!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 16:47 
>>>[оверквотинг удален]
>> короче нужна более детальная схема, и более полные конфиги.
> вот конфиги 3560 и 3825 (немного подрезанные, но самое главное видно)

мое мнение  на 3825 надо удалить секондари


потом добавить новый интерфейс

interface GigabitEthernet0/1.71
description inet_to_hotel
encapsulation dot1Q 70
ip address 192.168.71.1 255.255.255.0
ip access-group 100 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly

на 3560
создать VLAN 71
vlan 71

назначить ему IP

interface Vlan71
ip address 192.168.71.2 255.255.255.0

порты которые хочешь засунуть в 70 сетку

switchport
switchport mode access
switchport access vlan70

порты которые хочешь засунуть в 71 сетку

switchport
switchport mode access
switchport access vlan71

в таком случае все должно заработать
сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул 192.168.71.0/24

так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
распихай порты по VLAN-ам (70 и 71) в таком случае все заработает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 17:04 
>>>>[оверквотинг удален]

и еще, подумал, в такой схеме агрегированием локального трафика будет заниматься 3825 отсюда следует трафик пробегает и 3560 и 3825 - налицо лишняя нагрузка на обе железки
т.к. 3560 это L3 свитч с поддержкой ACL может тебе есть смысл агрегировать локальный трафик на 3560 и туда же перенести ACL, а между 3825 и 3560 поднять линк точка-точка например 192.168.255.252/30 ?????
в такой схеме разргузишь 3825 (который у тебя вроде занимается ресурсоемким NAT-ом) и локальный трафик не будет бегать через 3825 а будет ходить внутри 3560 каталисты. Смотри сам как тебе легче все зависит от конкретных задач.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "DHCP c локального secondary интерфейса "  +/
Сообщение от tolyanich139 (ok) on 03-Апр-14, 13:34 
> порты которые хочешь засунуть в 71 сетку
> switchport
> switchport mode access
> switchport access vlan71
> в таком случае все должно заработать
> сейчас твой 3560 пытается раздать DHCP адреса vlan-ом 70 в котором IP
> 192.168.70.2 он не пренадлежит сети в которой у тебя создан пул
> 192.168.71.0/24
> так что поднимай 71vlan назначай в нем Ip 192.168.71.2 255.255.255.0
> распихай порты по VLAN-ам (70 и 71) в таком случае все заработает.

спасибо за помощь!
так не получится, потому что dhcp нужен для точек доступа, которые раскиданы по многим портам каталиста3560

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "DHCP c локального secondary интерфейса "  +/
Сообщение от ovdp on 01-Апр-14, 16:52 
с секондари интерфейсов dhcp просто не раздается. делать 2 сабинтерфеса и транком на каталик. dhcp должен быть настроен там где есть интерфейс с адресом из данной подсети

>[оверквотинг удален]
> !
> !
> access-list 2 deny any
> !
> control-plane
> !
> !
> end
> -----
> Заранее спасибо!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 17:12 
>[оверквотинг удален]
>> !
>> !
>> access-list 2 deny any
>> !
>> control-plane
>> !
>> !
>> end
>> -----
>> Заранее спасибо!

у тебя сейчас DHCP настроен не в той подсети, попробуй смени на 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает

я тебе и говорю что секондари и не нужен, тут нужно поднять сабинтерфейс gi0/1.71 и вытянуть его на 3560 а на 3560 создать интерфейс-вилан с ip 192.168.71.2 255.255.255.0
порты распихать по vlan-ам

то что ты затеял .... с секондари - не получиться, это не правильная схема (мое мнение, так сети не строят)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 17:15 
>>[оверквотинг удален]

пробуй сменить IP на 3560
вместо 192.168.70.2 255.255.255.0
пропиши 192.168.71.2 255.255.255.0
или попробуй на 3560 в 70вилане добавь ip add 192.168.71.2 255.255.255.0 secondary
если даст, живого каталиста под рукой нету не могу проверить возможность добавления на каталисте секондари в вилан-интерфейсе.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "DHCP c локального secondary интерфейса "  +/
Сообщение от tolyanich139 (ok) on 03-Апр-14, 16:54 
> у тебя сейчас DHCP настроен не в той подсети, попробуй смени на
> 3560 каталисте ip vlan 70 на 192.168.71.2 255.255.255.0 и все залетает

Cпасибо! Помогло!

interface Vlan70
ip address 192.168.71.2 255.255.255.0 secondary
ip address 192.168.70.2 255.255.255.0

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "DHCP c локального secondary интерфейса "  +/
Сообщение от Merridius (ok) on 01-Апр-14, 17:13 
Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в GI адрес secondary ip.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 17:19 
> Не совсем так. Если не использовать встроенный DHCP сервер, а использовать DHCP
> Relay, то можно заюзать функционал dhcp smart-relay, который позволит подставить в
> GI адрес secondary ip.

все верно но в таком случае ему прийдется все DHCP пулы перенести на 3825 циску, агрегирование локального трафика сделать на 3560 каталисте(как я и говорил) и на нем же поднять dhcp smart-relay, и уже в интерфейсах 3560 каталиста прописать ip helper-address DHCP сервера развернутого на 3825 циске
это будет наверное самый правильный вариант, но на сколько я понял на усложнение схемы терминирования/агрегирования трафика он не готов идти.

кстати еще можно сменить маску сети и не парится
например взять сеть 192.168.70.0/23 (255.255.254.0)
и переписать все ACL

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 email(ok) on 01-Апр-14, 18:51 
to tolyanich139
чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект http://fttbkhv.ru/test/temp.rar посмотри
я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я не знаю что там у тебя за 3560 живет)
на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP маршрутизатора.......
короче разберешься  я думаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "DHCP c локального secondary интерфейса "  +/
Сообщение от tolyanich139 (ok) on 03-Апр-14, 12:33 
> to tolyanich139
> чтоб не сотрясать гром, я тебе накидал проект того что я предлагаю
> сделать в Cisco Packet Tracer, скачай его установи, и загрузи проект
> http://fttbkhv.ru/test/temp.rar посмотри
> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
> не знаю что там у тебя за 3560 живет)
> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
> маршрутизатора.......
> короче разберешься  я думаю.

большое спасибо!
а в какой версии трейсера делали проект, ни в 5 ни в 6 не открывается =(

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "DHCP c локального secondary интерфейса "  +/
Сообщение от Virtual77 (ok) on 04-Апр-14, 16:55 
>[оверквотинг удален]
>> http://fttbkhv.ru/test/temp.rar посмотри
>> я там настроил самый минимум DHCP живет на cisco(взял 2811 потому как
>> 3825 не было) взял твой 3560, и дальше каталисты 2960(т.к. я
>> не знаю что там у тебя за 3560 живет)
>> на 3560 подняты интерфейсы и он транслирует все DHCP запросы на DHCP
>> маршрутизатора.......
>> короче разберешься  я думаю.
> большое спасибо!
> а в какой версии трейсера делали проект, ни в 5 ни в
> 6 не открывается =(

6.0.1.0011

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру