ISC-DHCPD advanced practices

[dadv]

В ISC-DHCPD с версии 4.2 появилась есть возможность делать такое:

shared-network HotSpot {
 subnet 10.45.50.0 netmask 255.255.255.0 {
    option routers 10.45.50.1;
 } 
 class "AP1-vlan1096" {
    match if binary-to-ascii(16, 8, ":", hardware) = "1:0:27:22:52:8a:85"
         and binary-to-ascii(16, 8, ".", option agent.circuit-id) = "0.4.4.48.0.5";
 }
 pool {
    allow members of "AP1-vlan1096";
    range 10.45.50.11;
 }
 pool {
    deny members of "AP1-vlan1096";
    range x.x.x.x x.x.x.y;
 }
}

То есть, если AP1 (определяемая по её MAC 0:27:22:52:8a:85) запросила адрес в vlan 1096 (0x448) на шестом порту каталиста (который и вставил в запрос option 82 с этими данными), то выдаётся статический адрес 10.45.50.11. А если из другого, то на общих основаниях, из отдельного пула.

Тут же кучка заботливо разложенных граблей: функция binary-to-ascii() отрезает ведущие нули в каждом октете (буквы делает нижнего регистра); внутренная реализация классов в версии 4.2 имеет вычислительную сложность O(n*n) от количества описанных классов, так что масштабируется это решение не очень.

Comments

[dadv.livejournal.com]

Cisco

[coctic]

Видимо, это фишка именно роутеров. Вроде как про Cat3560 говорят, что он RC3069 умеет, и называется там это Private VLAN, и Ip source guard и DHCP snooping там есть, но как все это скрутить, чтоб он еще и маршруты проставлял - я из докментаци не понял. Может, L3 свитч такого и не умеет.

[dadv.livejournal.com]

У нас 7606 :-)
Причём никакой особой команды чтобы он роуты проставлял я не ставил, "оно само" стало это делать после того, как включен был DHCP Relay и проставлен ip unnumbered Loopback2 на interface Vlan и в DHCPACK стали выдаваться адреса с адресом шлюза, равным адресу на Loopback2.