Опять DHCP, подскажите...

[Кирилл Яновский]

Вот набросал мою схему сети. 2 сервера - NW6.5SP8.
В каждом - 2 сетевки, ну в INET еще 1 - на провайдера.
Сетевух больше добавлять не могу (PCI-слоты кончились, а PCI-Express - дрова не ставяться)

Задача:
1. Разделить VLAN-ами сети 1, 2, 3. (С целью "непересечения сетей 1, 2, 3) Ну это я вроде как разобрался (в свичах), хотя совершенно застрял в настройке VLANов на сервере.
IANS - ничего не вышло по причине того, что у меня на серверах только 1 сетевка Интел, остальные - и броадком и 3сом и еще кто-то.
BASP - ничего не понял, как им ВЛАНы то делать? Где-то есть примеры (как для Ians) его использовани.
2. Выделять хостам из этих подсетей - соответствующие динамические адреса (тем, кого не прописали статикой). Ну тут завал - 1я подсеть нормально получает адреса от DHCP, а вот что делать со 2й и 3й сетью - не понимаю. Ведь запросы от 2 и 3й подсетей будут приходить с одного интерфейса (оптики). Как мне их разделять? И как сказать серверу DHCP, кому какие выдавать адреса?
Я правильно понимаю - получается, запросы из 2, 3 подсетей будут получать в ответ адреса только из 2й подсети? Тогда хост, физически находящийся в 3й подсети, получит адрес из 2 - и не увидит свою 3ю подсеть (т.к. окажется в другом влане).
Короче, запутался я окончательно.

Подскажите, как мне грамотно все это развести? И VLAN-ы и DHCP.

[Сулейменов Олжас]

Если поможет...

Имеем рабочую схему на Catalyst 4506 и кучу 2900 серии
ДХЦП от Новела соотв.

Схема такая - строится вилан, в настройках которого поднимается интерфейс самого вилана (он же будет шлюзом для хостов и указывается ДХЦП-сервер. На ДХЦП сервере выстраивается (пишу на всяк случай ) пул, диапазон, рукотворные адреса хостов..

При работе схемы начинается взаимодействие свича (который отдает часть адреса - три триады - в ДХЦП-сервер и самого ДХЦП-сервера, который доформировывает ответ на запрос последней триадой и отсылает хосту.

Останется только изолировать АЦЛ-ами виланы между собой и все.

Да, забыл добавить, порты придется вручную втаскивать в вилан.

[Кирилл Яновский]

Бррр... ничего не понял, если честно
Ну, кроме "На ДХЦП сервере выстраивается (пишу на всяк случай ) пул, диапазон, рукотворные адреса хостов.."
Пожалуйста, можно попонятнее ?
Моего "зюхеля 2108" 2го уровня хватит для описаных "выкрутасов" ?
Вчера экспериментировал с динамическими диапазонами - напоролся на проблему:
Пока есть 1 дин. диапазон в 1й подсети - все отлично, при запросе неизвестной машины получает адрес из этой подсети, а как тольок создал еще 2 (во 2й, 3й пдсети, соответственно), сразу получаю вот что:

Get type:4, IPAddr:0.0.0.0, LeaseTime:0, MacIndx:711, pIP:0
DetermineLeaseTime: proposed=0, return=4294967295, pSubnet->leaseTime=4294967295
ping:sendto addr=192.168.2.136
AMAGet() exit err:0, subnet:192.168.2.0, addr:192.168.2.135
2010/05/24 17:35:04 <DHCPDISCOVER> packet received from client <8:0:27:1E:CE:F4>.
2010/05/24 17:35:04 Sending BOOTP/DHCP reply <DHCPOFFER> to <8:0:27:1E:CE:F4> as <192.168.2.135>.
Get type:4, IPAddr:0.0.0.0, LeaseTime:0, MacIndx:711, pIP:AFD900C0
SubmitJob called with addr=192.168.2.135, leaseExpiration=0, lease=0, operation=2
DetermineLeaseTime: proposed=0, return=4294967295, pSubnet->leaseTime=4294967295
AMAGet() exit err:0, subnet:192.168.1.0, addr:192.168.1.215
2010/05/24 17:35:04 <DHCPDISCOVER> packet received from client <8:0:27:1E:CE:F4>.
2010/05/24 17:35:04 Sending BOOTP/DHCP reply <DHCPOFFER> to <8:0:27:1E:CE:F4> as <192.168.1.215>.
Get type:3, IPAddr:192.168.2.135, LeaseTime:0, MacIndx:711, pIP:AFD91CC0
AMAGet(): requested IP addr not found. IPAddr found= 192.168.1.215, IPAddr req = 192.168.2.135, type= 3
AMAGet() exit err:8, subnet:192.168.2.0, addr:192.168.2.135
2010/05/24 17:35:04 <DHCPREQUEST> packet received from client <8:0:27:1E:CE:F4>, client requested IP address = <192.168.2.135>.
2010/05/24 17:35:04 DHCP Warning: There is no matching entry configured for client <8:0:27:1E:CE:F4>.
Sending reply as a subnet broadcast.
2010/05/24 17:35:04 Sending BOOTP/DHCP reply <DHCPNAK> to <8:0:27:1E:CE:F4> as <255.255.255.255>.
Get type:3, IPAddr:192.168.2.135, LeaseTime:0, MacIndx:711, pIP:AFD91CC0
AMAGet() exit err:30, subnet:0.0.0.0, addr:192.168.2.135
2010/05/24 17:35:04 <DHCPREQUEST> packet received from client <8:0:27:1E:CE:F4>, client requested IP address = <192.168.2.135>.
ProcessJob pass IP DN: 192_168_2_135.PK3.MDAU, no hostname, operation 2
NWDSRemoveObject failed: err = NO_SUCH_ENTRY, objectName used:192_168_2_135.PK3.MDAU
Get type:4, IPAddr:0.0.0.0, LeaseTime:0, MacIndx:711, pIP:AFD91CC0
Using existing IP with subnet C0A80100
DetermineLeaseTime: proposed=0, return=4294967295, pSubnet->leaseTime=4294967295
AMAGet() exit err:0, subnet:192.168.1.0, addr:192.168.1.215
2010/05/24 17:35:04 <DHCPDISCOVER> packet received from client <8:0:27:1E:CE:F4>.
2010/05/24 17:35:04 Sending BOOTP/DHCP reply <DHCPOFFER> to <8:0:27:1E:CE:F4> as <192.168.1.4>.
Get type:3, IPAddr:192.168.2.135, LeaseTime:0, MacIndx:711, pIP:AFD91CC0
AMAGet(): requested IP addr not found. IPAddr found= 192.168.1.215, IPAddr req = 192.168.2.135, type= 3
AMAGet() exit err:8, subnet:192.168.2.0, addr:192.168.2.135
2010/05/24 17:35:04 <DHCPREQUEST> packet received from client <8:0:27:1E:CE:F4>, client requested IP address = <192.168.2.135>.
2010/05/24 17:35:04 DHCP Warning: There is no matching entry configured for client <8:0:27:1E:CE:F4>.
2010/05/24 17:35:04 Sending BOOTP/DHCP reply <DHCPNAK> to <8:0:27:1E:CE:F4> as <192.168.1.4>.

И такая фигня по-кругу, и дхсп пытаетсья разные выдавать. и машина никакой адрес не плучает. Убираю 2, 3й диапазоны - все отлично.
Причем, свичи пока что работают, как обычные, ВЛАН-ов нет пока, т.е. все сети друг друга видят, маршрутизация между ними настроена.

Ткните носом, что я накосячил?

[Сулейменов Олжас]

Виланами могут управлять свичи 3 уровня и маршрутизаторы. Свичи 2 уровня могут только поддерживать тэгированные пакеты, т.е. не отрыгивать и не видоизменять их, а принимать-передавать и быть участниками вилан-доменов посредством транковых каналов.

Что касается работы вашего ДХЦП - тут надо смотреть конфигурацию сервиса.

[Кирилл Яновский]

Так все-таки, я могу как-то решить описаную задачу с помощью имеющегося оборудования?
Ну и как вариант - Бог с ними, с ВЛАНами, как мне ДХСП настроить на раздачу всем 3м подсетям адресов.
Статика выдаеться замечательно, проблема именно в динамически диапазонах.
Тут рядом в соответствующей теме мне сказали, что висящему на каждом интерфейсе сегменту будет выдаваться соответствующий диапазон. Но у меня вот как раз что-то не так выдает.

Вот еще кусочек лога, если это поможет:
Locator name is [DNS-DHCP.MDAU]
LoadServerObj():Read DHCP Server Reference from NCP Server
FillSubnet : Zone Domain Name = local.mdau.mk.ua
Subnet address: 192.168.1.0, pSubnet->pOptions: 933511C0, len = 30
FillSubnet : Zone Domain Name = local.mdau.mk.ua
Subnet address: 192.168.2.0, pSubnet->pOptions: 93351280, len = 30
FillSubnet : Zone Domain Name = local.mdau.mk.ua
Subnet address: 192.168.3.0, pSubnet->pOptions: 93351300, len = 30
Right before LoadAllRanges
subnet ref in LoadALLRanges: LocalMDAU.MDAU
pRange type read is 3, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
pRange ynamic.LocalMDAU.MDAU with start:192.168.1.215, end:192.168.1.240, type:3 is about to be created
pRange type read is 99, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
subnet ref in LoadALLRanges: PK3.MDAU
pRange type read is 3, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
pRange ynamic.PK3.MDAU with start:192.168.2.135, end:192.168.2.169, type:3 is about to be created
pRange type read is 255, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
pRange type read is 99, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
subnet ref in LoadALLRanges: Karpenko73.MDAU
pRange type read is 3, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
pRange ynamicKarpenko73.Karpenko73.MDAU with start:192.168.3.200, end:192.168.3.250, type:3 is about to be created
pRange type read is 99, pDataServerRef: DHCP_MAIN.MDAU, pDHCPServerDN: DHCP_MAIN.MDAU
Right before LoadAllIPs
subnet ref in LoadALLIPs: LocalMDAU.MDAU
AppendIPList: Detected Invalid FQDN, type=8, addr=192.168.1.123
AppendIPList: Detected Invalid FQDN, type=8, addr=192.168.1.152
AppendIPList: Detected Invalid FQDN, type=8, addr=192.168.1.159
ну и т.д... тут все мои адреса - в "инвалидных"

[Сергей Дубовский]

1)Честно говоря не вполне понятна конфигурация сети. Если у Вас каждая подсеть в своем вилане, то не понятно как пакеты из сети 192.168.3.0 попадают на DHCP сервер MAIN.
2) Как справедливо отметил Сулейменов Олжас коммуаторы второго уровня не занимаются маршрутизацией, т.е. при их отсутствии этим должне заниматься какой то сервер.
3)Как мне кажется в Вашем случае нужен либо коммутатор 3-го уровня, либо интрефейс для сети 192.168.3.0 в севрере MAIN, либо DHCP сервер для подсети 192.168.3.0 на сервер INET.
4)Возможно, я и не прав, т.к. пока нет ясности с п.1. есть вероятность, что на самом деле все не совсем так, как вырисовывается из Вашего описания.

P.S.

Ведь запросы от 2 и 3й подсетей будут приходить с одного интерфейса (оптики)

Что Вы понимаете в данном случае под "интрефейсом (оптикой)"?
Обычно под интерфейсом пониматься сетевая карта с IP-адресом, либо логический интрефейс с IP-адресом коммутатора 3-го уровня. В вашем же случае, насколько я понимаю, оптика ни с каким интерфейсом не связана.

[Сулейменов Олжас]

Проблему решит, я думаю, добавление еще двух сетевых карт, смотрящих каждая в свою подсеть. В настоящее время запросы идут на ДХЦП с разных подсетей на один интерфейс и вполне ес-сно, ДХЦП путается. Мало того, интерфейс не должен пинговаться из двух последних подсетей, кроме первой. На сколько я разбираюсь в ботанике, на один интерфейс теоретически можно навесить больше одной подсети, но нормальной работы не получится.

Что-то картинка не внушает доверия. Кто занимается маршрутизацией между второй и третью подсетью? Без дополнительного шлюза ничего работать не должно.

Понятно, что раз задействована оптика, то расстояние приличные, хотя в моей практике на 600 метров и коаксиал трудился неплохо. Было бы гораздо лучше прокинуть от MAIN до каждого свича свою веревку или на границе каждого сегмента разместить 2-интерфейсный шлюз.

[Кирилл Яновский]

1)Честно говоря не вполне понятна конфигурация сети. Если у Вас каждая подсеть в своем вилане, то не понятно как пакеты из сети 192.168.3.0 попадают на DHCP сервер MAIN.

Ну я вроде пострался нарисовать понятно.
Та нет, пока вланов нету совсем. Но планировал каждую подсеть - в свой влан. Маршрутизируют конечно сервера.

2) Как справедливо отметил Сулейменов Олжас коммуаторы второго уровня не занимаются маршрутизацией, т.е. при их отсутствии этим должне заниматься какой то сервер.
3)Как мне кажется в Вашем случае нужен либо коммутатор 3-го уровня, либо интрефейс для сети 192.168.3.0 в севрере MAIN, либо DHCP сервер для подсети 192.168.3.0 на сервер INET.

Да вот и думаю, что придеться поднимать 2й DHCP-сервер на INET.

P.S.

Ведь запросы от 2 и 3й подсетей будут приходить с одного интерфейса (оптики)

Что Вы понимаете в данном случае под "интрефейсом (оптикой)"?
Обычно под интерфейсом пониматься сетевая карта с IP-адресом, либо логический интрефейс с IP-адресом коммутатора 3-го уровня. В вашем же случае, насколько я понимаю, оптика ни с каким интерфейсом не связана.

Ну, по идее - да. Запросы из 2,3 й подсетей приходят на MAIN через 2 интерфейса - 1.1 и 2.1

[Кирилл Яновский]

Проблему решит, я думаю, добавление еще двух сетевых карт, смотрящих каждая в свою подсеть. В настоящее время запросы идут на ДХЦП с разных подсетей на один интерфейс и вполне ес-сно, ДХЦП путается. Мало того, интерфейс не должен пинговаться из двух последних подсетей, кроме первой. На сколько я разбираюсь в ботанике, на один интерфейс теоретически можно навесить больше одной подсети, но нормальной работы не получится.

Не получиться добавить сетевок, я уже писал - PCI-слоты кончились, а PCI-express сетевка не заводиться, дров нету под Новелл.

Что-то картинка не внушает доверия. Кто занимается маршрутизацией между второй и третью подсетью? Без дополнительного шлюза ничего работать не должно.

Вообще, если честно, 3й сети пока нет, я ее только создаю. Сегодня-завтра уже буду подключать в общую. Маршрутизировать, предполагал, будет INET, на нем же сейчас шлюз 192.168.3.1. Хотя была мысль прибиндить на интерфейс MAIN-а 192.168.2.1 еще и 3.1. не знаю, что из этого выйдет, честно говоря

Понятно, что раз задействована оптика, то расстояние приличные, хотя в моей практике на 600 метров и коаксиал трудился неплохо. Было бы гораздо лучше прокинуть от MAIN до каждого свича свою веревку или на границе каждого сегмента разместить 2-интерфейсный шлюз.

Да, расстояния - до километра, так что оптика.

Ну а все-таки, что за ерунда начинается с существующим DHCP-сервером, когда я добавляю еще 1 динамич. дипазон во 2й подсети. Почему перестают присваиватсья адреса?

[Музалёв Николай]

Но планировал каждую подсеть - в свой влан.

А зачем, если не секрет?

[Кирилл Яновский]

Но планировал каждую подсеть - в свой влан.

А зачем, если не секрет?

Эээ... честно говоря - не знаю ... посоветовал кто-то. Уж очень сам я тут плаваю
По большому счету, мне вланы нужны разве что для пары-тройки вайфай-точек по корпусам, они будут шаровые, поэтому их как-то изолировать.
Но, так как я вопрос с полностью "прозрачным" доступом в тырнет для студентов не решил (ну не получаеться у меня ни вариант прозрачного прокси, ни раздача опции через DHCP адреса прокси, ни через WPAD), то, возможно и тут будет авторизация, так что "разделения" вообще как бы отпадает.

[Сергей Дубовский]

А зачем, если не секрет?

При уже имеющихся коммутаторах второго уровня почему бы и нет.
На мой взгляд это дает более упорядоченную структуру сети, уменьшает широковещательный трафик, ну и улучшает безопасность за счет большей изолированности VLAN нежели подсетей IP.
Учитывая, что речь о студентах, не думаю что это лишнее.
Если бы не было коммутаторов, которые это позволяют сделать, то вопрос целесообразности стоял бы, а так по-моему лучше это сделать.

Запросы из 2,3 й подсетей приходят на MAIN через 2 интерфейса - 1.1 и 2.1

Маршрутизировать, предполагал, будет INET, на нем же сейчас шлюз 192.168.3.1.

Возможно, что маршрутизатор (INET) в данном случае не передает DHCP серверу инфу из какой подсети пришел запрос...
Когда речь о статическом DHCP, то тут одназначно по MAC адресу все работает, а с динамическим сложнее.

Я бы на Вашем месте постарался бы поднять на каждом сервере интрефейсы для всех подсетей (если без VLAN, то можно хоть на одной сетевухе их все поднять), и отключил бы маршрутизацию между подсетями (если она не нужна для чего то еще, например для виндовой сети).
Дополнительный бонус - независимость доступности сервера MAIN от сервера INET.

Правда при росте числа подсетей такой варинат становится слишком громоздким.

[Сулейменов Олжас]

В дополнение - указать на каждом свиче MAIN как шлюз для соотв. подсети . Это тоже может спасти ситуацию (по крайней мере каталисты позволяют такую раздачу).

[Сергей Дубовский]

В дополнение - указать на каждом свиче MAIN как шлюз для соотв. подсети . Это тоже может спасти ситуацию (по крайней мере каталисты позволяют такую раздачу).

А ведь на свичах второго уровня только один интерфейс - управляющий, который привязан у одному вилану, я так понимаю, что в этом случае указание шлюза для этого интерфейса (а где там еще можно шлюз указать?) повлияет только на доступность этого управляющего интерфейса из других подсетей через роутер.

[Сулейменов Олжас]

На старых 2924 шлюз как-то проваливался до станций, правда, все свичи были в кластере. Хотя, я может и путаю, схема поменялась давно.