<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18812"></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Bruce, Andrew, and Simon - thanks, I appreciate your responses. It's _almost_ clear to me!<BR></DIV>
<DIV>If this drawing show up un-mangled, I'll be amazed...</DIV>
<DIV> </DIV>
<DIV>---------|                         |            |      |             |       | Opn 82</DIV>
<DIV>DHCPD |-- Server Vlan2 --| Switch |-----| Router   |-----| Access</DIV>---------|                         |            |      | L3 relay |       | L2 relay
<DIV> </DIV>
<DIV>So yes, what it looks like to me is that I have several subnets that are all in 1 shared network - vlan2. On vlan2, I only see DHCP broadcasted discovers from other vlan2 servers, something I don't want to answer for, hence my lack of authoritative on that subnet. There are actually 4 L3 relay routers, handling from /18 down to /26 networks, and all of these unicast DHCP discovers to the dhcpd server host on vlan2.</DIV>
<DIV> </DIV>
<DIV>>    The "shared-network" is meant to handle a case where you have two<BR>>or more IP subnets sharing a single broadcast domain (aka VLAN, etc).<BR>>In Cisco terms, you want a shared-network when-ever you have an<BR>>"ip address ... secondary" on an interface.<BR></DIV>
<DIV>That is not the case here. So does that mean I should have 0 shared-networks and only have subnet declarations?</DIV>
<DIV> </DIV>
<DIV>>There isn't enough information to say whether your setup is right or wrong.<BR></DIV>
<DIV>How about now? ;-)<BR><BR>>The key test is this. Can you unplug a device in the 10.1.0.0 <BR>>network, and plug into the same socket a device in the 10.170.0.0 <BR>>network and have it work correctly WITH NO OTHER CHANGES ? If not <BR>>then they are not the same network and the subnets should not be in a <BR>>shared network.<BR></DIV>
<DIV>It's a little different than that, we are also using QinQ and all of our dhcp is relayed, so depending on where your encapsulation dot1q and second dot1q are defined (which particular router performing L3 relay) terminates the QinQ is which giaddr your discover will be forwarded with to dhcpd.</DIV>
<DIV><BR>>As an example of what is NOT a shared network. Suppose 10.1.0.0 is on <BR>>a network in one building, and 10.170.0.0 is on a completely separate <BR>>network in another building - but connected via one or more routers, <BR>>links etc. Taking a device to the first building and configuring it <BR>>with a 10.170.0.0 address won't work, and vice versa.<BR>>You definitely must NOT use shared-network in this case. If you do, <BR>>then the DHCP server could assign either a 10.1.0.0 or a 10.170.0.0 <BR>>address to a device in either network, and of course, it's going to <BR>>be pot luck whether the device gets a usable address or not. This is <BR>>because when the server gets a relayed request via (say) 10.1.0.1 as <BR>>the relay agent, it looks in the config and you've told it that <BR>>10.170.0.0 is available there as well.<BR><BR>This seems to indicate to me that I shouldn't have any shared-networks. I thought I was clear on this, but now I'm not again ;-(</DIV>
<DIV> </DIV>
<DIV>I think this explains why we've seen some devices get wrong IPs in some weird ways in the past. We also take steps to ensure that we only receive properly relayed dhcp filled in with valid option 82 info, by which we statically assign the host an address, but a few times we've seen unexpected dhcp from something else get an unexpected IP.</DIV>
<DIV><BR>>As an aside, I'm fairly certain you cannot mix authoritative and <BR>>not-authoritative in a shared network. The DHCP server is either <BR>>authoritative or it isn't for a PHYSICAL network. So you probably <BR>>only want to put authoritative at the shared-network level.<BR><BR>So 0 shared-networks then?<BR></DIV>
<DIV>Thanks!</DIV>
<DIV> </DIV>
<DIV>--Marc<BR></DIV></BODY></HTML>