pictop
Goto Top

Vlans und DHCP (IP-Helper?)

1 Dhcp 4 Vlans wie konfigurien

Hallo,

Ich habe einen Windows Server 2008 R2 Server (Rolle DHCP) einen Switch (Catalyst 3560) und möchte gerne den Switch so konfigurieren das der einen DHCP Server die IP in allen VLANs vergibt.

Im Internet fand ich heraus, dass das angeblich mit der Funktion IP-Helper funktionieren soll.
Leider fand ich keine Anleitung wie.

Ist meine Information korrekt (Funktioniert das mit IP - Helper)?

Hat jemand eine Anleitung zu Konfiguration?

Vielen Dank für eure Hilfe,

Pictop

Content-Key: 149589

Url: https://administrator.de/contentid/149589

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: brammer
brammer 24.08.2010 um 11:54:55 Uhr
Goto Top
Mitglied: pictop
pictop 24.08.2010 um 15:00:20 Uhr
Goto Top
Vielen dank dass hilft mir weiter.

Mfg
Pictop
Mitglied: aqui
aqui 24.08.2010 um 16:51:38 Uhr
Goto Top
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: pictop
pictop 24.08.2010 um 16:56:21 Uhr
Goto Top
Mach ich auch sobald das Problem behoben ist!

Noch funktioniert es nicht und sollte ich noch Hilfe brauchen kann ich es einfach hier reinschreiben.
Mitglied: aqui
aqui 25.08.2010 um 13:04:36 Uhr
Goto Top
Wo ist den dein Problem. Die Konfig ist doch ein Kinderspiel. Angenommen dein DHCP Server hat die IP 172.16.1.100 in VLAN 1 und Clients sind in VLAN 2, 3 und 4, dann sieht deine Cisco Konfig so aus:

Cisco_Switch#

clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/10
description DHCP Server Netz in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/12
description Enduser Ports in VLAN 2
switchport access vlan 2
spanning-tree portfast
!
interface FastEthernet0/14
description Enduser Ports in VLAN 3
switchport access vlan 3
spanning-tree portfast
!
interface FastEthernet0/17
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
!
interface Vlan1
ip address 172.16.1.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 172.16.2.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan3
ip address 172.16.3.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
end

Mit dem Kommando ip helper-address 172.16.1.100 werden die DHCP Requests der Clients in den VLANs 2, 3 und 4 auf den Server mit der IP 172.16.1.100 geforwardet.
Logischerweise MUSS dieser Server natürlich auch die DHCP Scopes für die Subnetze 172.16.2.0 /24, 172.16.3.0 /24 und 172.16.4.0 /24 eingetragen haben !!
Damit funktioniert das in mickrigen 5 Minuten problemlos auf Anhieb !!
Mitglied: pictop
pictop 25.08.2010 um 13:20:49 Uhr
Goto Top
Hat immer noch nicht so ganz geklappt.

Hier mal meine Konfigurationen:

Switch#show running-config
Building configuration...

Current configuration : 5286 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
system mtu routing 1500
authentication mac-move permit
ip subnet-zero
!
!
!
!
crypto pki trustpoint TP-self-signed-20950
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-20950
revocation-check none
rsakeypair TP-self-signed-20950
!
!
crypto pki certificate chain TP-self-signed-20950
certificate self-signed 01
3082023D
quit
dot1x system-auth-control
dot1x test timeout 60
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
description Notebook ohne 802.1x
switchport mode access
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/2
description Not Set
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/3
description Notenook mit 802.1x
switchport mode access
authentication event no-response action authorize vlan 2
authentication host-mode multi-host
authentication port-control auto
authentication periodic
authentication timer reauthenticate 4000
dot1x pae authenticator
dot1x max-req 5
spanning-tree portfast
!
interface FastEthernet0/4
shutdown
!
interface FastEthernet0/5
description Server
spanning-tree portfast
!
interface FastEthernet0/6
shutdown
!
interface FastEthernet0/7
description MAC Adress Authorisation
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 192.168.1.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan3
ip address 192.168.2.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan4
ip address 192.168.3.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan5
ip address 192.168.4.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan6
ip address 192.168.5.254 255.255.255.0
ip helper-address 192.168.0.1
!
ip classless
ip http server
ip http secure-server
!
ip sla enable reaction-alerts
radius-server host 192.168.0.1 auth-port 1812 acct-port 1646 key
!
!
line con 0
password cisco
line vty 0 4
password cisco
line vty 5 15
password cisco
!
end

Beim DHCP Server wurden die Scope eingerichtet
Scope 192.168.0.0
Scope 192.168.1.0
Scope 192.168.2.0
usw.
Mitglied: aqui
aqui 25.08.2010 um 16:42:01 Uhr
Goto Top
Die Konfig ist soweit OK. Mal abgesehen davon das du nur das default VLAN 1 und das VLAN 3 auf den Ports der o.a. Konfig hast aber zum testen reicht das ja.
Deine Falle ist vermutlich die aktive 802.1x und Mac Adressen Authentisierung an den Ports. Vermutlich verhindert die eine korrekte DHCP Vergabe.

Nimm dir mal einen Wireshark Sniffer und checke am DHCP Server ob dort überhaupt DHCP Requests aus dem VLAN 3 ankommen oder debugge UDP Packete am Cisco Switchport.
Oder noch einfacher: Mach die ganze Switchkonfig "nackig" an den Ports mit denen du die DHCP Option testest.
Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen.
Logischerweise testet man dann erstmal das grundlegende wie DHCP mit eine einfachen Grundkonfig und geht dann in die Details.
Nochwas: hast du die Firewall auf dem Server (DHCP) entsprechend angepasst das diese auch fremde IP Pakete zulässt ??
Wenn nicht werden die DHCP Requests vom anderen Subnetz ignoriert, denn wie die ganze Netzwerk Welt weisst lässt eine Win Firewall nur lokale Packete durch ! Das musst du also ggf. anpassen !
Was passiert am Client ? Geht der in "eingeschränkte Konnektivität" ?? Oder kommen DHCP Teile an. Was sagt ein ipconfig -all ?
De facto funktioniert funktioniert diese Konfig auf Anhieb ! Millionen Cisco Kunden weltweit sind der Beweis ! Details zum Kommando stehen hier:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/command/reference/1rdi ...
Mitglied: pictop
pictop 25.08.2010 um 16:51:17 Uhr
Goto Top
Ok vielen dank ich teste es morgen durch und melde mich dann.


"Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen"

Das ist mir schon klar nur das ziel ist 802.1x aktiv zu lassen da es (außer dhcp) perfekt funktioniert.


Mfg
Pictop
Mitglied: pictop
pictop 26.08.2010 um 10:09:47 Uhr
Goto Top
Ich habe mal die Windows Firewall komplett ausgeschaltet (Sowohl Server als auch Client)

Auch die Radius Konfiguration hab ich mal entfernt.

Solang sich der Computer in VLAN 1 befindet funktioniert (logischerweise) alles, er bekommt eine (192.168.0.3 255.255.255.0) Adresse soweit ok.


Sobald er aber in ein anderes VLAN verschoben wird passiert nichts: DHCP Pakete sind keine (laut Wireshark) die Verbindung geht auf Eingeschränkte "Konnektivität" und er bekommt einen von Notebook zugewiesene IP (169.254.157. 185 255.255.0.0)
Mitglied: pictop
pictop 26.08.2010 um 11:12:53 Uhr
Goto Top
Hat sich erledigt danke!


Es lag am einer Fehlkonfiguration des Netzwerkinterface vom Server