DHCP Relay Agent применяется для предоставления DHCP-серверу дополнительных данных о полученном DHCP-запросе. К таким данным можно отнести информацию об устройстве, на котором запущен DHCP Relay Agent, а также информацию oб ONT, с которого получен DHCP-запрос. Модификация DHCP-пакетов производится путем перехвата и последующей обработки на CPU устройства.
Идентификация ONT на DHCP-сервере производится путем анализа содержимого DHCP option 82. DHCP Relay Agent позволяет как прозрачно передать эту опцию с ONT, так и сформировать или перезаписать ее по заданному формату. Использование DHCP option 82 особенно актуально, когда в сети нет выделенных VLAN для каждого пользователя.
DHCP Relay Agent поддерживает настраиваемый формат как подопции Circuit ID, так и Remote ID.
1.Настройка профиля DHCP Relay Agent
LTP-8X(config)# profile dhcp-ra dhcp-ra-01 Перейдите в нужный профиль DHCP Relay Agent
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# enable Включите обработку DHCP трафика
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# overwrite-option82 При необходимости включите вставку/перезапись DHCP option 82
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# overwrite-option82 circuit-id "%HOSTNAME% %MAC% %OPT82_CID%" При необходимости задайте формат DHCP option 82 командами overwrite- option82 circuit-id и overwrite-option82 remote-id.
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# overwrite-option82 remote-id "%OPT82_RID%"
Список лексем, которые можно использовать:
%HOSTNAME% - LTP hostname;
%MNGIP% - IP address of management interface;
%GPON-PORT% - interface gpon-port ID;
%ONTID% - admin assigned ID of ONT device;
%PONSERIAL% - serial number of ONT device;
%GEMID% - GEM port ID;
%VLAN0% - outer VLAN ID;
%VLAN1% - inner VLAN ID;
%MAC% - MAC address of user device;
%OPT60% - string extracted from DHCP option60 in incomming packet.
%OPT82_CID% - DHCP option82 Circuit ID string extracted from incomming packet.
%OPT82_RID% - DHCP option82 Remote ID string extracted from incomming packet
%DESCR% - first 20 symbols of description from ONT configuration.
При необходимости задействуйте защиту от DoS атак командой dos-block.
Укажите порог интенсивности DHCP-запросов в секунду, после которого следует блокировка командой dos-block packet-limit.
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# dos-block
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# dos-block packet-limit 200
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# dos-block block-time 300
Настройте список доверенных (trusted) DHCP-серверов командами trusted primary и trusted secondary.
Задайте таймаут ответа DHCP-серверов командой trusted timeout. Активируйте механизм фильтрации командой trusted.
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# trusted primary 10.0.0.1
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# trusted secondary 10.0.0.2
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# trusted timeout 100
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# trusted
LTP-8X(config-dhcp-ra)("dhcp-ra-01")# do commit Примените изменения командой commit
2. Настройка broadcast-unicast relay
В целях уменьшения широковещательного трафика и во избежание ответов от нежелательных DHCP-серверов возможно формирование unicast-обмена через DHCP Relay Agent.
LTP-8X(switch)(config)# vlan 2000
LTP-8X(switch)(config-vlan)# ip address 10.10.10.1/32 Создайте L3-интерфейс, задав IP-адрес для VLAN, которая используется для cross-connect type management (актуально только для single-tag сервиса)
LTP-8X(switch)(config)# vlan 1209
LTP-8X(switch)(config-vlan)# ip address 192.168.209.240/24 Создайте L3-интерфейс, задав IP-адрес для VLAN, которая используется для коммутации с сетью, в которой расположен DHCP-сервер
LTP-8X(switch)(config)# ip dhcp relay 192.168.209.5 Укажите адрес DHCP-сервера
Если адрес DHCP-сервера находится за маршрутизатором, доступным за указанным L3-интерфейсом, настройте статический маршрут:
LTP-8X(switch)(config)# ip dhcp relay 192.168.56.1
LTP-8X(switch)(config)# commit
LTP-8X(switch)(config)# exit
LTP-8X# configure terminal
LTP-8X(config)# ip route prefix 192.168.56.0 mask 24 gateway 192.168.209.5
LTP-8X(config)# do commit