15
DHCP Adressvergabe für diverse Bereiche deaktivieren
Hallo zusammen,
ich setze gerade wegen einer IP-Umstellung einen neuen DHCP-Server auf. Die Anforderung ist, dass ich pro Abteilung einen eigenen Bereich erstelle in denen jeder Host einen MAC-reservierten Lease bekommen. Zusätzlich einen dynamischen Bereich für Besucher. Jetzt möchte ich verhindern, dass ein Besucher eine freie IP aus einem Abteilungssegment bekommt. Wie kann ich die dynamische Vergabe der Abteilungsbereiche deaktivieren?
MfG
Heiko
ich setze gerade wegen einer IP-Umstellung einen neuen DHCP-Server auf. Die Anforderung ist, dass ich pro Abteilung einen eigenen Bereich erstelle in denen jeder Host einen MAC-reservierten Lease bekommen. Zusätzlich einen dynamischen Bereich für Besucher. Jetzt möchte ich verhindern, dass ein Besucher eine freie IP aus einem Abteilungssegment bekommt. Wie kann ich die dynamische Vergabe der Abteilungsbereiche deaktivieren?
MfG
Heiko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 120309
Url: https://administrator.de/contentid/120309
Printed on: April 24, 2024 at 11:04 o'clock
15 Comments
Latest comment
DHCP > Server > Bereich > Adresspool ?
Sorry wenn das ne blöde Frage war!
In dem Pfad kann ich einen Pool anlegen und einen ausschließen. Ist aber nicht so wirklich das, was ich brauche, oder? Stehe im Moment etwas aufm Schlauch
In dem Pfad kann ich einen Pool anlegen und einen ausschließen. Ist aber nicht so wirklich das, was ich brauche, oder? Stehe im Moment etwas aufm Schlauch
Hallo Diabolo,
erstmal eine Frage :
für jede Abteilung einen eigenen Bereich ?!?! Heißt dass, du arbeitest mit VLAN pro Abteilung ?
Brauchst du dann in jedem VLAN noch einen Besucherbereich ?
Du könntest das wie folgt lösen :
- pro VLAN legst du einen Bereich an, den du für die Besucher verwenden möchstest.
Dieser Bereich kann dann von den Besuchern dynamisch verwendet werden.
- Deine Abteilungs- Clients legst du unter Reservierungen an - sie sollten dann nicht innerhalb des dynamischen Bereiches liegen.
Beispiel :
Adresspool : 20.20.20.200 bis 20.20.20.250 mit einer Subnetzmaske 255.255.255.0
Reservierung : 20.20.20.100 für Abteilungsclient1
20.20.20.101 für Abtelungsclient2......
Die Reservierungen müssen nicht im Bereich des Adresspools liegen - nur innerhalb des Subnetzes.
Wenn du mit mehreren VLANS arbeitest musst du das für jedes VLAN einzeln machen.
Blöd ist dann nur, wenn du Clients hast, die in mehreren VLAN`s arbeiten wollen/müssen, dann musst du in jedem VLAN eine Reservierung für diesen Client anlegen.
Ich hoffe, ich konnte dir ein wenig helfen - Gruß Leo
erstmal eine Frage :
für jede Abteilung einen eigenen Bereich ?!?! Heißt dass, du arbeitest mit VLAN pro Abteilung ?
Brauchst du dann in jedem VLAN noch einen Besucherbereich ?
Du könntest das wie folgt lösen :
- pro VLAN legst du einen Bereich an, den du für die Besucher verwenden möchstest.
Dieser Bereich kann dann von den Besuchern dynamisch verwendet werden.
- Deine Abteilungs- Clients legst du unter Reservierungen an - sie sollten dann nicht innerhalb des dynamischen Bereiches liegen.
Beispiel :
Adresspool : 20.20.20.200 bis 20.20.20.250 mit einer Subnetzmaske 255.255.255.0
Reservierung : 20.20.20.100 für Abteilungsclient1
20.20.20.101 für Abtelungsclient2......
Die Reservierungen müssen nicht im Bereich des Adresspools liegen - nur innerhalb des Subnetzes.
Wenn du mit mehreren VLANS arbeitest musst du das für jedes VLAN einzeln machen.
Blöd ist dann nur, wenn du Clients hast, die in mehreren VLAN`s arbeiten wollen/müssen, dann musst du in jedem VLAN eine Reservierung für diesen Client anlegen.
Ich hoffe, ich konnte dir ein wenig helfen - Gruß Leo
Hallo Leo,
nein bei uns gibt es kein V-LAN. Die Bereiche gibt es nur Zwecks Übersicht.
Kann ich einem DHCP Bereich nicht sagen, dass er nur einen reservierten Lease ausgeben soll und sonst gar keinen???
nein bei uns gibt es kein V-LAN. Die Bereiche gibt es nur Zwecks Übersicht.
Kann ich einem DHCP Bereich nicht sagen, dass er nur einen reservierten Lease ausgeben soll und sonst gar keinen???
Hallo Diabolo,
prinzipiell ja - du kannst ja alle IP nach dem Anlegen des Bereiches wieder ausschließen.
Aber was macht das für einen Sinn ? Ich denke, du brauchst dynamische Adressen und feste Adressen ?
Vielleicht versteh ich dich ja auch nicht richtig ?!?!
Gruß Leo
prinzipiell ja - du kannst ja alle IP nach dem Anlegen des Bereiches wieder ausschließen.
Aber was macht das für einen Sinn ? Ich denke, du brauchst dynamische Adressen und feste Adressen ?
Vielleicht versteh ich dich ja auch nicht richtig ?!?!
Gruß Leo
Vielleicht drücke ich mich nicht richtig aus 
Jetzt mal mit mehr Details:
wir haben zur Zeit 89.40.x.x als LAN. Ich weiß, aber ist historisch gewachsen. Wir wechseln jetzt auf 172.27.x.x.
Wir haben pro Etage einen bestimmten IP-Adress-Bereich also zur Zeit 89.40.1.x für die erste Etage usw. Das möchten wir beibehalten, nur jetzt halt per DHCP zugewiesen (also 172.27.1.x usw.). Aber ausschließlich mit reservierten Leases arbeiten. Da aber Gäste keine IP-Adresse aus einem Adress-Bereich einer Etage bekommen sollen, sondern aus, ich sag jetzt mal 172.27.9.x, möchte ich erreichen, dass die Bereiche für die Etagen an Gäste keine dynamischen IP-Adressen verteilen.
Ich hoffe, das war jetzt verständlicher
Wie konfiguriere ich (ohne VLANs) den DHCP-Server richtig für ein solches Szenario?
Jetzt mal mit mehr Details:wir haben zur Zeit 89.40.x.x als LAN. Ich weiß, aber ist historisch gewachsen. Wir wechseln jetzt auf 172.27.x.x.
Wir haben pro Etage einen bestimmten IP-Adress-Bereich also zur Zeit 89.40.1.x für die erste Etage usw. Das möchten wir beibehalten, nur jetzt halt per DHCP zugewiesen (also 172.27.1.x usw.). Aber ausschließlich mit reservierten Leases arbeiten. Da aber Gäste keine IP-Adresse aus einem Adress-Bereich einer Etage bekommen sollen, sondern aus, ich sag jetzt mal 172.27.9.x, möchte ich erreichen, dass die Bereiche für die Etagen an Gäste keine dynamischen IP-Adressen verteilen.
Ich hoffe, das war jetzt verständlicher
Wie konfiguriere ich (ohne VLANs) den DHCP-Server richtig für ein solches Szenario?
Hallo Diabolo,
im Prinzip genau nach dem Beispiel wie oben beschrieben.
Du legst einen Bereich an : 172.27.9.1 bis 172.27.9.250 mit der Subnetzmaske 255.255.0.0
Dann legst du für die für deine Hausclients die Reservierungen an :
172.27.1.1 Client1_Etage1
172.27.1.2 Client2_Etage1
172.27.2.1 Client1_Etage2 .....
Bei einem Netz in deiner Größenordnung (wenn der verwendete Netzbereich etwa die Größe beschreibt)
ein sehr mühsames Unterfangen - viel Spaß !
Aber zumindest dynamisch würden dann nur IP aus dem 9-er Bereich vergeben - und auch nur an Clients, die keine Reservierung haben - also Besucher und die, die du bei den eigenen Clients vergessen hast.
Und ihr wollt das nur zum Zwecke der Übersicht ??? Ich meine, wenn du mit einem Netz 255.255.0.0 arbeitest, dann hast du doch absolut nichts davon, wenn Besucher alle IPs 172.27.9.x bekommen, im aktiven Netz sind sie dann doch trotzdem.
Gruß Leo
im Prinzip genau nach dem Beispiel wie oben beschrieben.
Du legst einen Bereich an : 172.27.9.1 bis 172.27.9.250 mit der Subnetzmaske 255.255.0.0
Dann legst du für die für deine Hausclients die Reservierungen an :
172.27.1.1 Client1_Etage1
172.27.1.2 Client2_Etage1
172.27.2.1 Client1_Etage2 .....
Bei einem Netz in deiner Größenordnung (wenn der verwendete Netzbereich etwa die Größe beschreibt)
ein sehr mühsames Unterfangen - viel Spaß !
Aber zumindest dynamisch würden dann nur IP aus dem 9-er Bereich vergeben - und auch nur an Clients, die keine Reservierung haben - also Besucher und die, die du bei den eigenen Clients vergessen hast.
Und ihr wollt das nur zum Zwecke der Übersicht ??? Ich meine, wenn du mit einem Netz 255.255.0.0 arbeitest, dann hast du doch absolut nichts davon, wenn Besucher alle IPs 172.27.9.x bekommen, im aktiven Netz sind sie dann doch trotzdem.
Gruß Leo
Dazu muss er aber jeder MAC ihre IP zuweisen und er kann niemals garantieren das IP Gäste in Etage 1 keine DHCP IP Adressen von Etage 3 bekommen !!
Fazit: Das klappt nicht, da DHCP auf Broadcast basiert.
Das ganze Konzept ist schon von sich aus krank !!
Mit der IP Umstellung solltest du gleich VLANs einführen und zwar für jede Etage eins.
Dann der 172.27.0.0 eine Class C Subnetzmaske verpassen für jede Etage und gut ist.
Damit ist dann dein IP DHCP Szenario im Handumdrehen mit ein paar Mausklicks umzusetzen.
In einem doofen, flachen Layer 2 Netz wie du es vermutlich derzeit betreibst geht es definitiv nicht !!
Fazit: Das klappt nicht, da DHCP auf Broadcast basiert.
Das ganze Konzept ist schon von sich aus krank !!
Mit der IP Umstellung solltest du gleich VLANs einführen und zwar für jede Etage eins.
Dann der 172.27.0.0 eine Class C Subnetzmaske verpassen für jede Etage und gut ist.
Damit ist dann dein IP DHCP Szenario im Handumdrehen mit ein paar Mausklicks umzusetzen.
In einem doofen, flachen Layer 2 Netz wie du es vermutlich derzeit betreibst geht es definitiv nicht !!
Hallo Aqui,
dass das Ganze ohne VLAN`s keinen Sinn macht, da stimm ich dir 100 % zu - und auch der Etagenlösung. Und auch, dass er jede MAC seine Mitarbeiter eine IP zuweisen müßte.
Aber ich widerspreche dir, was deine Ausführung und Begründung zu den IP der Gäste betrifft.
In einem B Netz - und davon bin ich ausgegangen, weil er ja keine VLANs einsetzen will - werden im ganzen Haus - egal in welcher Etage - die 9-er Adressen dynamisch an Gäste vergeben - und nur die ! Da es ein komplettes Netz ist, würde das - sinnvoll oder nicht - funktionieren. Das hat mal mit Broadcast garnix zu tun, denn man ist ja in einem Netz - und da der Pool nur 9-er Adressen enthält, werden auch überall 9-er Adressen dynamisch vergeben.
Ansonsten bin ich uneingeschränkt bei dir !
Gruß Leo
dass das Ganze ohne VLAN`s keinen Sinn macht, da stimm ich dir 100 % zu - und auch der Etagenlösung. Und auch, dass er jede MAC seine Mitarbeiter eine IP zuweisen müßte.
Aber ich widerspreche dir, was deine Ausführung und Begründung zu den IP der Gäste betrifft.
In einem B Netz - und davon bin ich ausgegangen, weil er ja keine VLANs einsetzen will - werden im ganzen Haus - egal in welcher Etage - die 9-er Adressen dynamisch an Gäste vergeben - und nur die ! Da es ein komplettes Netz ist, würde das - sinnvoll oder nicht - funktionieren. Das hat mal mit Broadcast garnix zu tun, denn man ist ja in einem Netz - und da der Pool nur 9-er Adressen enthält, werden auch überall 9-er Adressen dynamisch vergeben.
Ansonsten bin ich uneingeschränkt bei dir !
Gruß Leo
Ok, wieder falsch ausgedrückt. Mit "Besuchern" meine ich Mitarbeiter aus anderen Niederlassungen. Die dürfen natürlich ins produktive Netz da sie eh per VPN verbunden sind. Andere "Besucher" von Fremdfirmen dürfen hier per WLAN ins Internet und mehr nich. Das ist schon geregelt.
Genau die Lösung brauchte ich. Danke. Mir war einfach der Unterschied zwischen Bereich und Pool nicht klar.
So viel Arbeit ist das gar nicht. Es gibt Listen hier im Haus mit IPs Namen und MAC-Adressen. Die importiere ich über netsh. Auch schon getestet.
Genau die Lösung brauchte ich. Danke. Mir war einfach der Unterschied zwischen Bereich und Pool nicht klar.
So viel Arbeit ist das gar nicht. Es gibt Listen hier im Haus mit IPs Namen und MAC-Adressen. Die importiere ich über netsh. Auch schon getestet.
Na dann - viel Spaß !
Gruß Leo
Gruß Leo
Hallo Aqui,
mit VLANs mache ich mich aber von einem einzigen Switch abhängig. Wenn der ausfällt, geht gar nichts mehr? Auch nicht all zu erstrebenswert. Und ein zweiter Switch in der Größe ist zur Zeit nicht im Budget.
mit VLANs mache ich mich aber von einem einzigen Switch abhängig. Wenn der ausfällt, geht gar nichts mehr? Auch nicht all zu erstrebenswert. Und ein zweiter Switch in der Größe ist zur Zeit nicht im Budget.
Das ist natürlich völliger Blödsinn und zeigt das du nicht wirklich etwas vom halbwegs professionellen Aufbau von Firmennetzen verstehst.
Dann sähe dein Netzwerk nämlich so aus:
Und da kann ausfallen was lustig ist, das Netzwerk wenigstens funktioniert weiter !!!
Vermutlich ist dein Netz aber eins für eine Würstchenbude und keine Firma und dann hättest du (etwas) Recht.
Dann benötigt man aber auch solche hochtrabenden und für doofe, flache L2 Netze unsinnigen DHCP Vorstellungen nicht, sorry !!!
Dann sähe dein Netzwerk nämlich so aus:
Und da kann ausfallen was lustig ist, das Netzwerk wenigstens funktioniert weiter !!!
Vermutlich ist dein Netz aber eins für eine Würstchenbude und keine Firma und dann hättest du (etwas) Recht.
Dann benötigt man aber auch solche hochtrabenden und für doofe, flache L2 Netze unsinnigen DHCP Vorstellungen nicht, sorry !!!
Hallo Aqui,
nu mal ganz entspannt !
Ich hatte schon dass Gefühl, dass Diabolo zumindest weiß, dass er einen Core braucht. Und ihm scheint durchaus auch klar zu sein, dass 2 Core besser wären.
Aber wenn`s sein Chef nun mal nicht kapiert oder nicht bezahlen will, da kann er ja nu mal nix dazu.
Ein solcher Angriff muss nicht sein ! Und er wird ihm auch nicht wirklich helfen !
In der Regel sind die hochtrabenden und für doofe, flache L2 Netze unsinnigen DHCP Vorstellungen nicht vom Admin sondern von dessen Chef, der zwar kein Geld ausgeben will aber alle Features bei voller Ausfallsicherheit vom Admin umgesetzt haben will.
Freu dich, wenn bei euch professionell gearbeitet werden kann - bei uns glücklicherweise auch - aber eben nicht überall.
nu mal ganz entspannt !
Ich hatte schon dass Gefühl, dass Diabolo zumindest weiß, dass er einen Core braucht. Und ihm scheint durchaus auch klar zu sein, dass 2 Core besser wären.
Aber wenn`s sein Chef nun mal nicht kapiert oder nicht bezahlen will, da kann er ja nu mal nix dazu.
Ein solcher Angriff muss nicht sein ! Und er wird ihm auch nicht wirklich helfen !
In der Regel sind die hochtrabenden und für doofe, flache L2 Netze unsinnigen DHCP Vorstellungen nicht vom Admin sondern von dessen Chef, der zwar kein Geld ausgeben will aber alle Features bei voller Ausfallsicherheit vom Admin umgesetzt haben will.
Freu dich, wenn bei euch professionell gearbeitet werden kann - bei uns glücklicherweise auch - aber eben nicht überall.
Dafür ist dann dies aber ein vollkommen falsches Forum...
Da ist er dann in "ach ich kann mich nicht beim Chef durchsetzen..." Foren besser aufgehoben zum Argumente sammeln...sorry !
Da ist er dann in "ach ich kann mich nicht beim Chef durchsetzen..." Foren besser aufgehoben zum Argumente sammeln...sorry !
