Приветствую!
Вопрос такой:
Есть Cisco 3662, за ним Catalyst sw-2950, есть сеть типа 192.168.166.0/24
нужно любому PC включенному в порт sw-2950 выдавать по dhcp конкретный адрес в зависимости от интерфейса, типа:
включился на FastEthernet 0/5 - выдать 192.168.166.5 (всегда), ну и для остальных соответственно.
На 3662 все интерфейсы "проброшены", все unnambered от Loo0 - 192.168.166.1
MAC подключенного PC не известен, может быть любой.

Пишу:
ip dhcp excluded-address 192.168.166.1
!
ip dhcp pool TEST
   network 192.168.166.0 255.255.255.0
   netbios-node-type h-node
   default-router 192.168.166.1
   class TEST1
      address range 192.168.166.2 192.168.166.2
   class TEST2
      address range 192.168.166.3 192.168.166.3
------
   class TEST22
      address range 192.168.166.22 192.168.166.22
!
ip dhcp class TEST1
   relay agent information
      relay-information hex 001120c8d482*
!
ip dhcp class TEST2
   relay agent information
      relay-information hex 001120c8d483*
------
ip dhcp class TEST22
   relay agent information
      relay-information hex 001120c8d496*

В итоге
DHCPD: DHCPDISCOVER received from client 0100.a0cc.cad7.68 on interface FastEthernet0/1.2
DHCPD: input does not contain option 82

Что нужно сказать на Catalyst'е дабы всё заработало?
Благодарю.

• DHCP: Постоянный IP в зависимоcти от интерфейса.,RDD, 13:46 , 10-Фев-09
  • DHCP: Постоянный IP в зависимоcти от интерфейса.,Vadim F., 18:10 , 10-Фев-09
    • DHCP: Постоянный IP в зависимоcти от интерфейса.,инкогникто, 21:58 , 11-Фев-09
      • DHCP: Постоянный IP в зависимоcти от интерфейса.,mario23, 01:50 , 12-Фев-09
        • DHCP: Постоянный IP в зависимоcти от интерфейса.,Vadim F., 02:23 , 12-Фев-09
          • DHCP: Постоянный IP в зависимоcти от интерфейса.,trianon, 11:10 , 13-Фев-09
      • DHCP: Постоянный IP в зависимоcти от интерфейса.,Vadim F., 02:20 , 12-Фев-09
• DHCP: Постоянный IP в зависимоcти от интерфейса.,Alex, 06:36 , 12-Фев-09
  • DHCP: Постоянный IP в зависимоcти от интерфейса.,Vadim F., 10:09 , 13-Фев-09
    • DHCP: Постоянный IP в зависимоcти от интерфейса.,Vadim F., 13:44 , 14-Фев-09

Вообще как привязать ip к интерфейсу не подскажу. Обычно привязывают ip к мас и делают это на dhcp сервере. Я так понимаю задача в том, чтоб что попало не подключали на рабочих местах, за исключением того оборудования которое подключено.
На 2960 можно ограничить количество мас адресов приходящих с порта.
Что то примерно так

interface FastEthernet0/1
description -= User Interface =-
switchport access vlan 999
switchport mode access
switchport port-security maximum 1
switchport port-security violation restrict
ip dhcp snooping limit rate 50

И для всего комутатора восстановление включить
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause arp-inspection
errdisable recovery interval 30

в дальнейшем блокированые порты смотреть командой
sh interfaces status err-disabled

В том то всё и дело, что нужно IP к порту привязать,
подключать "что попало" можно и нужно, только flow снимать с интерфейса и счёт выставлять :)
В принципе это нужно заставить работать на связке 2811 и 3xsw-2960 каскадом.
пока экспериментирую на 3662 и sw-2950.

А если каждый порт в отдельный влан, со своей подсетью?

>А если каждый порт в отдельный влан, со своей подсетью?

я так понял вас интересует безопасность !?
так вот используйте АЦЛ

>>А если каждый порт в отдельный влан, со своей подсетью?
>
>я так понял вас интересует безопасность !?
>так вот используйте АЦЛ

Да нет, безопасность не интересует.
Интересует:
Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо известно в какую, соответственно известен Catalyst и порт)) и делает трафик. Вот с него денюжку получить и надо.

>>>А если каждый порт в отдельный влан, со своей подсетью?
>>
>>я так понял вас интересует безопасность !?
>>так вот используйте АЦЛ
>
>Да нет, безопасность не интересует.
>Интересует:
>Пришёл человек со своим ноутбуком, ничего не настраивая, "втыкает" в розетку (заведомо
>известно в какую, соответственно известен Catalyst и порт)) и делает трафик.
>Вот с него денюжку получить и надо.

Вы и внутрисетевой трафик хотите считать или только проходящий через 2811?

>А если каждый порт в отдельный влан, со своей подсетью?

Порты каждый в своём влане, такое есть.
А вот что имеется ввиду про подсети?
Не хочется отдавать FA's на 3662 IP-адреса, всвязи с этим есть Loopback0, и от него аннамберед.

В принципе flow можно снимать с Catalyst, но так то интереснее! :)
Подскажите, может ещё чего пропустил.
Благодарю.

Смотри в сторону IP source guard

>Смотри в сторону IP source guard

Насколько я понял на платформе 2900 сие не реализовано.
Похоже очень "тупая" платформа.

>>Смотри в сторону IP source guard
>
>Насколько я понял на платформе 2900 сие не реализовано.
>Похоже очень "тупая" платформа.

"Переехал" на др. sw-2950, "поумнее" оказался, snooping понимает.
А я вот что-то никак не пойму, чего он от меня хочет.

Пишу на sw-2950:
ip dhcp snooping
ip dhcp snooping vlan 17-19 (три порта в которые "втыкаю" PC, на 3662 соответственно клаcсы повесил на FE0/1.17 - FA0/1.19)

Получаю на sw-2950:
5981856: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/19)
5981857: Feb 14 16:43:46.943 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5981858: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: add relay information option.
5981859: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5981860: Feb 14 16:43:46.947 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x13 0x0 0x12 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xAs run
5981861: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (19)
5981862: Feb 14 16:43:46.951 YAK: DHCP_SNOOPING_SW: bridge packet output port set is null, packet is dropped.

на транковый порт FA0/1 в сторону 3662 ставлю:
ip dhcp snooping snooping trust

debug выдаёт:
5980860: Feb 14 16:49:58.725 YAK: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/18)
5980861: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: process new DHCP packet, message type: DHCPDISCOVER
5980862: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: add relay information option.
5980863: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING_SW: Encoding opt82 in vlan-mod-port format
5980864: Feb 14 16:49:58.729 YAK: DHCP_SNOOPING: binary dump of relay info option, length: 20 data:
0x52 0x12 0x1 0x6 0x0 0x4 0x0 0x12 0x0 0x11 0x2 0x8 0x0 0x6 0x0 0x16 0xC7 0xFD 0xA 0x80
5980865: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet get invalid mat entry: FFFF.FFFF.FFFF, packet is flooded to ingress VLAN: (18)
5980866: Feb 14 16:49:58.733 YAK: DHCP_SNOOPING_SW: bridge packet send packet to port: FastEthernet0/1.

Ни в первом, ни во втором случае на 3662 в дебаге ничего не появляется.
Если установить FA0/19 в ip dhcp snooping snooping trust
ситуация похожа, но без binary dump of relay info option, length: 20 data

Куда теперь смотреть???