Getting IP via IPCP. DHCP, option 82, Piglet and Kanga.

-
Здесь будут все дичайшие верования, слепые заблуждения и вдохновляющая история обретения человечеством IP адреса.

Через IPCP к звездам


В целом на серийных линках нельзя так просто взять и включить DHCP клиент. Нет Ethernetа и бродкаста. Однако адрес можно получить в рамках IPCP, когда обе стороны сообщают свой адрес и добавляют его с 32 маской в RIB. С тем же успехом можно выделять адрес друг другу. 
Возьмем два роутера с серийным линком
Серверу предлагаются следующие способы для передачи IP адреса клиенту через команду 

peer default ip address {ip-address | dhcp-pool | dhcp | pool [pool-name]}





ip-address

Specific IP address to be assigned to a remote peer dialing in to the interface. To prevent duplicate IP addresses from being assigned on more than one interface, this argument cannot be applied to a dialer rotary group nor to an ISDN interface.

dhcp-pool

Retrieves an IP address from an on-demand address pool. This option only supports remote access (PPP) sessions into MPLS VPNs.

dhcp

Retrieves an IP address from the DHCP server.

pool

Uses the global default mechanism as defined by the ip address-pool command unless the optional pool-name argument is supplied. This is the default.

pool-name

(Optional) Name of a local address pool created using the ip local pool command. DHCP retrieves an address from this pool regardless of the global default mechanism setting.

Static


Первая опция - вы пишите на сервере адрес руками. Клиент его получает.

Сервер
R2#sh run int ser1/0
!
interface Serial1/0
 ip address 188.1.12.2 255.255.255.0
 encapsulation ppp
 peer default ip address 188.1.12.1

Клиент
R1#sh run int ser1/0
!
interface Serial1/0
 ip address negotiated

R1#sh ip interface serial 1/0
Serial1/0 is up, line protocol is up
  Internet address is 188.1.12.1/32
  Broadcast address is 255.255.255.255
  Address determined by IPCP

DHCP-pool


Вторая опция - вы создаете настоящий взрослый DHCP пул. Сервер сам у себя запрашивает адрес и передает его клиенту.

Сервер
R2#sh run interface ser1/0 
!
interface Serial1/0
 ip address 188.1.12.2 255.255.255.0
 encapsulation ppp
 peer default ip address dhcp-pool POOL

R2#sh run | sec dhcp
ip dhcp excluded-address 188.1.12.2
ip dhcp pool POOL
 network 188.1.12.0 255.255.255.0
 peer default ip address dhcp-pool POOL

На клиенте все тоже самое

POOL


Третья опция. Как вы понимаете из всего богатства DHCP в предыдущем примере мы берем только адрес. Зачем тогда оно нам? Сделаем просто пул, локальный, без всяких заморочек.

R2#sh run | sec POOL
ip local pool POOL 188.1.12.1

R2#sh run interface ser1/0
!
interface Serial1/0
 ip address 188.1.12.2 255.255.255.0
 encapsulation ppp
 peer default ip address pool POOL

DHCP-proxy


И наконец если написать DHCP то включится механизм проксирования дхцп запросов. Для этого на сервере нужно настроить ip dhcp helper с адресом другого сервера (например роутер R3). Тогда наш сервер R2 будет генерировать запрос, релеить его на R3 а ответ отдавать по IPCP.

Для оптовиков


Если вы лентяй и на каждом интерфейсе не хотите указывать механизм передачи адреса - включите его дефолтом для всех клиентов разом. Тогда на интерфейсе ничего указывать не надо

R2(config)#ip address-pool ?
  dhcp-pool          Use local DHCP pools
  dhcp-proxy-client  Use DHCP proxy client feature
  local              Use Local IP Address pooling


ODAP Manager. Маска, кто ты?


А если у вашего клиента есть свои клиенты. Но раздавать вы хотите все тот же пул. Не беда, вам поможет DHCP Server On-Demand Address Pool Manager. Создаете локально пул и указываете откуда он должен наполняться.

R1#sh run | sec pool
ip dhcp pool ONEDEMAND
 origin ipcp

В качестве origin можно выбрать RADIUS server, другой DHCP или наш IPCP

R1(dhcp-config)#origin ?
  aaa   Subnet is from a AAA server
  dhcp  Subnet is from another DHCP server
  file  Static bindings are read from an external file
  ipcp  Subnet is from IPCP subnet negotiation


Все бы норм, но не работает)))

R1(config)#do sh ip dhcp pool
Pool ONEDEMAND :
 Utilization mark (high/low)    : 100 / 0
 Subnet size (first/next)       : 0 / 0 
 Total addresses                : 0
 Leased addresses               : 0
 Pending event                  : none
 0 subnet is currently in the pool 

Все потому, что нет маски. IPCP ее не передает, так как она не нужна на линках точка-точка.
Добавляем две команды:

Сервер
R2(config-if)#do sh run int ser1/0
!
interface Serial1/0
 ip address 188.1.12.2 255.255.255.0
 encapsulation ppp
 peer default ip address pool POOL
 ppp ipcp mask 255.255.255.0

Клиент
R1(config-if)#do sh run interf ser1/0   
!
interface Serial1/0
 ip address negotiated
 encapsulation ppp
 ppp ipcp mask request

Результат
R1(config-if)#do sh ip dhcp pool
Pool ONEDEMAND :
 Utilization mark (high/low)    : 100 / 0
 Subnet size (first/next)       : 0 / 0 
 Total addresses                : 254
 Leased addresses               : 0
 Pending event                  : none
 1 subnet is currently in the pool :
 Current index        IP address range                    Leased addresses
 188.1.12.1           188.1.12.1       - 188.1.12.254      0

Опция 82


Одним из полей DHCP пакета является GIADDR - адрес гейта. При ретрансляции DHCP запроса релей пишет туда вместо 0 свой IP адрес с интерфейса, смотрящего на клиента. Так как они с клиентом в одной сети, сервер глядя в GIADDR понимает из какого пула ему выдать IP. 

Зачем?


Все чудесно работает, тем не менее релей вставляет в пакеты еще и эту опцию, которая выглядит как HEX, полученный из номера опции, длинны и до 255 подопций, среди которых, например, ID релея (какой то адрес, например МАС) или например ID порта, с которого пришел запрос. Все это нужно, чтобы связать выдаваймый адрес с параметрами ретранслятора. А это уже  позволяет дробить наш пул на части и выдавать их порелейно.
Дробление достигается за счет создания классов, в которых мы матчим опцию регекспом. Классы привязываются к пулу, им указываются диапазоны. А на стороне релея мы можем вставлять в опцию свои подопции и таким образом создавать группы релеев, которым достанется одинаковый класс.


Разве не здорово? DHCP snooping.


Все хорошо, пока мы не включаем механизм защиты от несанкционированных DHCP серверов - DHCP snooping. Он тоже смотрит на опцию 82 и не пропускает пакеты с ней со стороны клиентских портов. Что хуже - свич с этой функцией сам вставляет опцию 82, при этом не меняет поле GIADDR в пакете (он же не релей, поле остается нулевым). Тогда ближайший маршрутизатор (или релей) отбросит такой пакет. Для лечения нужно на релее после свича ввести  ip dhcp relay information trust-all, или отключить на коммутаторе вставку опции 82.

Литература


Единственный вопрос, который у меня остался - за что это все?

Две отличных статьи от Петра про опцию 82 и маску через IPCP

Комментарии

  1. Unknown22 сентября 2016 г. в 09:55

    Пора переходить на Ethernet и забывать о "девушках" :)

    ОтветитьУдалить
    Ответы
    1. http://peter-on-tractor.blogspot.com/22 сентября 2016 г. в 20:23

      А как же передернуть? IPCP не только у них. Есть еще туннели с паролями, типа L2TP. И потом это не от хорошей жизни - цисковский блюпринт к экзамену суров и беспощаден.

      Удалить

Отправить комментарий

Популярные сообщения из этого блога

EDU-JUN-JMV lab on vMX. Part1.

-
Изображение
This time I'm going to continue my experiments with Juniper virtualMX I've started in this getting started post   It was written in Russian, but contains enough pictures and CLI issues which describe themselves. Now I'll cover how to set up Junos MPLS and VPN's labs with vMX. That may be useful for companies with a low education budget as a way to spread knowledge among staff. Objective I intend to solve two main tasks. Firstly, I have to deploy an appropriate topology in a virtual environment and accomplish two basic labs: Lab-1 and Lab-6 so as to prepare baseline configurations used in the rest of labs. Secondly, I must see that it works :) thus I will perform Lab-12 LDP based VPLS - my beloved technology. Physical topology. Almost physical) Let's take a diagram from site provides Juniper labs for rent  and make something similar. It will take two vMX - vr1 and vr2 for the core network and a couple vMX as two PE routers called mx...
Далее...

Cisco Policing and Shaping.

-
Изображение
Общая идея механизмов известна: установить контрактную скорость, считать пакеты, при превышении скорости полисер дропает лишние пакеты а шейпер копит в буфере.  Немного терминов. CIR – committed information rate. Контрактная скорость. Не надо забывать, что механизмы не от хорошей жизни. Их назначение в том, что при покупке полосы у провайдера вы должны отправлять пакеты максимум на этой полосе. Иначе они будут справедливо дропаться.  PIR – peak information rate. Переподписка! Провайдер вам продал полосу, но готов пропускать больше трафика (пока суммарно канал не загружен). Вероятность дропа как бы выше, для этого пакеты с рейтом выше CIR но ниже PIR часто помечают худшим маркером. Tc – time interval (measurement interval) . Фактически это время усреднения, интервал на котором будет отправлено пакетов столько, чтоб не превысить CIR. Bc – committed burst. Пакеты отправляются на физической скорости интерфейса. Так как за время Tc мы должны получить сре...
Далее...

Опять GRE. Мультикаст, MTU и мать всех статей.

-
Изображение
Поздравьте меня, я читаю курс ROUTE в Билайн-университете. Как всегда на каждую попытку поумничать прилетает пять возможностей сеть в лужу, много читать и думать. Вот например, зачем нам GRE  на туннелях?  Говорят без него не работают динамические протоколы. Проверяем: При этом туннель IPIP R1#sh run int tu1 Building configuration... Current configuration : 173 bytes ! interface Tunnel1  ip address 192.168.1.1 255.255.255.252  tunnel source Serial1/0   tunnel destination 20.0.0.1   tunnel mode ipip   tunnel protection ipsec profile CM end И даже зашифрованный IPSec`ом R1#sh int Tu1 Tunnel1 is up, line protocol is up   Hardware is Tunnel   Internet address is 192.168.1.1/30   MTU 17920 bytes, BW 100 Kbit/sec, DLY 50000 usec,      reliability 255/255, txload 1/255, rxload 1/255   Encapsulation TUNNEL, loopback not set   Keepalive not set   Tunnel source 30.0.0.2 (S...
Далее...