3
Abgleich von MAC Adressen zwischen 2 DHCP-Servern
Hallo,
kurz zu meiner Ausgangslage:
Unsere Unternehmensgruppe besteht aus drei Unternehmen mit jeweils selbstständiger Infrastruktur (Server,DNS....).
Die Unternehmen sind über VPN Side-to-Side Verbindungen aneinander angebunden.
Derzeit wird in allen Standorten mit statischen IP-Adressen gearbeitet.
Nun wollen wir eine MAC-Adressbasierte IP-Adressenvergabe mit DHCP einführen (in allen drei Unternehmen), um so Besucher automatisch in ein getrenntes Besuchernetz nur für Internetzugang zu setzen.
Jetzt wollte ich fragen, ob es eine Möglichkeit gibt, dass sich alle drei DHCP-Server, nach dem Vorbild von DNS, automatisch abgleichen.
Das würde den Wartungsaufwand nämlich erheblich verringern.
Ich wäre für jede Anregung dankbar.
Viele Grüße prodye
kurz zu meiner Ausgangslage:
Unsere Unternehmensgruppe besteht aus drei Unternehmen mit jeweils selbstständiger Infrastruktur (Server,DNS....).
Die Unternehmen sind über VPN Side-to-Side Verbindungen aneinander angebunden.
Derzeit wird in allen Standorten mit statischen IP-Adressen gearbeitet.
Nun wollen wir eine MAC-Adressbasierte IP-Adressenvergabe mit DHCP einführen (in allen drei Unternehmen), um so Besucher automatisch in ein getrenntes Besuchernetz nur für Internetzugang zu setzen.
Jetzt wollte ich fragen, ob es eine Möglichkeit gibt, dass sich alle drei DHCP-Server, nach dem Vorbild von DNS, automatisch abgleichen.
Das würde den Wartungsaufwand nämlich erheblich verringern.
Ich wäre für jede Anregung dankbar.
Viele Grüße prodye
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 136398
Url: https://administrator.de/contentid/136398
Printed on: April 24, 2024 at 09:04 o'clock
3 Comments
Latest comment
Auf was für nem OS soll der DHCP den laufen? Unter nem Linux wäre unten genanntes hilfreich.
failover peer "home-net" { # fail over configuration
primary; # This is the primary
address 192.168.1.2; # primarys ip address
port 647;
peer address 192.168.1.3; # peer's ip address
peer port 647;
max-response-delay 60;
max-unacked-updates 10;
mclt 3600;
split 128;
load balance max seconds 3;
}
primary; # This is the primary
address 192.168.1.2; # primarys ip address
port 647;
peer address 192.168.1.3; # peer's ip address
peer port 647;
max-response-delay 60;
max-unacked-updates 10;
mclt 3600;
split 128;
load balance max seconds 3;
}
Kannst doch 802.1X einsetzen... Alle Clients via MAC statisch im DHCP einzutragen unterläuft (nach meiner Meinung) ja einen Ansatz von DHCP, den Verwaltungsaufwand zu reduzieren....
Naja, unterlaufen ist nicht so ganz richtig. Man hat eine zentrale Stelle an der man IP-Adressen pro MAC vergibt. Das ist auch schon ganz nützlich. Wenn man sowieso schon eine zentrale Datenbank mit MAC-Adressen hat, kann man das schon so machen um den Verwaltungsaufwand der statischen Adressen zu verringern.
Dummerweise bringt es, was die Sicherheit angeht, nicht wirklich vorteile die Netze "nur" auf Schicht3 zu trennen. Hat jemand einen Sniffer laufen, kann er die ARP Anfragen im Netz sniffen und sich einfach eine IP aus diesem Bereich geben. Wer sagt denn dass er DHCP verwenden muss. 802.1x ist hier der bessere Weg um Gäste ins Netz zu lassen. Ich trenne prinzipiell Internes Netz und Gast-Segmente. Außerdem weiß man doch an welchen Ports am Switch sich eigene Rechner befinden. Einfach ein paar Ports in ein isoliertes VLAN legen, einen DHCP-Server dafür konfigurieren und die Gäste anweisen nur diese Dosen zu verwenden. Um sicherzugehen das keiner einfach einen Rechner abstöpselt, kannst du den Switch so konfigurieren, dass nur MAC-Adresse pro Port zugelassen wird. Funktioniert super, erfordert aber ein rücksetzen der Konfig bei Tausch eines Fest-PCs. Für dynamische Arbeitsplätze (laptops usw.) dann noch 802.1x mit MAC AUTH verwenden und fertig.
Dummerweise bringt es, was die Sicherheit angeht, nicht wirklich vorteile die Netze "nur" auf Schicht3 zu trennen. Hat jemand einen Sniffer laufen, kann er die ARP Anfragen im Netz sniffen und sich einfach eine IP aus diesem Bereich geben. Wer sagt denn dass er DHCP verwenden muss. 802.1x ist hier der bessere Weg um Gäste ins Netz zu lassen. Ich trenne prinzipiell Internes Netz und Gast-Segmente. Außerdem weiß man doch an welchen Ports am Switch sich eigene Rechner befinden. Einfach ein paar Ports in ein isoliertes VLAN legen, einen DHCP-Server dafür konfigurieren und die Gäste anweisen nur diese Dosen zu verwenden. Um sicherzugehen das keiner einfach einen Rechner abstöpselt, kannst du den Switch so konfigurieren, dass nur MAC-Adresse pro Port zugelassen wird. Funktioniert super, erfordert aber ein rücksetzen der Konfig bei Tausch eines Fest-PCs. Für dynamische Arbeitsplätze (laptops usw.) dann noch 802.1x mit MAC AUTH verwenden und fertig.
