Как настроить cisco ip helper-address для dhcp и еще одного сервиса, адрес которого определяется broadcast'ом?
Приветствую.
Есть L3-свитч Cisco Catalyst 3560G.
На нем есть 3 vlan'а, между которыми настроена маршрутизация.
vlan1 10.0.1.0/24 (проводная сеть).
vlan2 10.0.2.0/24 (беспроводная сеть для "своих", WPA).
vlan3 10.0.3.0/24 (беспроводная сеть для гостей, WPA-PSK).
В vlan1 есть DHCP-сервер на Microsoft Windows Server 2008 R2.
На свитче на интерфейсах vlan 2 и vlan 3 настроен ip-helper, который указывает на адрес DHCP-сервера. Все клиенты в vlan2 и vlan3 получают адреса от DHCP-сервера в vlan1. Все работает.
В vlan 2 есть сетевой проектор с адресом 10.0.2.63, адрес проектора клиентский софт на ПК определяет широковещательным пакетом на адрес 10.0.2.255 на 2425/udp. Беспроводные клиенты находят проектор и работают с ним.
К сети иногда подключаются гости (vlan3), у которых установлен софт от проектора. Вот только софт этот проектор не находит и закрывается. Вручную указать адрес проектора нельзя. Софт у гостя шлет пакет на 10.0.3.255, который до проектора не доходит.
Умом понимаю что надо настроить в vlan3 второй ip helper-address, который будет указывать на проектор в vlan2. Но ведь в таком случае на проектор также пойдут dhcp-запросы и прочий разрешенный в ip forward-protocol бродкаст, что, как мне кажется, нежелательно.
Что-то мне кажется что запросы на поиск проектора шлются на броадаст и мало чего общего имеют с dhcp инициализацией,если я верно понял.
Соответственно работать такая связка будет только тогда - тогда проектор и клиент будут в одной сети, а у вас они в разных.
Соответственно надо искать возможность высадить проектор в две разные сети, повезет если они понимает тегиррованные пакеты.
В противном случае запретить гостям использовать проектор ввиду невозможности технической реализации.
Можно написать запрос вендору - может они что подскажут по поводу ручного указания адреса проетора.
Вариант с ip helper хорош. Если пытаться использовать его ( а это, помоему костыль)
То я бы завел нисовую виртуалку и пытался там разрулить пакеты с помощью
iptables. Чтобы броадкасты, пришелдие на 2425 udp отправлялись на прокетор (редирет или DNAT),все остальное - на dhcp сервер.
да, с dhcp мало общего.
Клиент шлет бродкаст, проектор отвечает юникастом и далее все общение идет юникастом.
Есть вариант с двумя ip helper'ами, но мне не нравится что на проектор будет прилетать dhcp-трафик.
Проектор не умеет работать с двумя сетями и не понимает тегированые пакеты.
А уже пробовали с ip address-helper? Скорее всего, он пересылает только запросы на 255.255.255.255, а на 10.0.2.255 не трогает. Возможно вам стоит попробовать PBR. Вот пример, только для http трафика.
А может быть вовсе попробовать засунуть проектор в отдельный vlan?
Попробовал с ip helper-address. Судя по тому что показывает wireshark - запросы до проектора в другой подсети доходят и он даже на них отвечает на адрес клиента. Вот только клиент эти ответы игнорирует.
Форвардинг широковещательного трафика из одной сети в другую осуществляется с помощью команды(глобально):
ip forward-protocol udp discard
на интерфейсе, в который необходимо транслировать необходимо включить
ip directed-broadcast
Что происходит: Маршрутизатор инкапсулирует в Layer 2 фрейм широковещательный пакет одного домена и направляет его в определенную сеть( где указан directed-broadcast)
Простой
Простой
