caribic
Goto Top

Unterschied zwischen L2 und L3 DHCP Relay bzw. DHCP Helper

Hallo Zusammen,

ich habe ein Switch (Netgear S3300) welches nur L2 DHCP Relay unterstützt. Benötige ich jetzt wirklich für jedes VLAN einen eigenen DHCP Server?

Ich kann zwar via Option82 Parameter an das DHCP Paket übergeben aber keine Helper-IP-Adresse.

Bin etwas ratlos und danke für eure Hilfe!

Viele Grüße!

Content-Key: 351966

Url: https://administrator.de/contentid/351966

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: chgorges
chgorges 17.10.2017 um 11:55:47 Uhr
Goto Top
Zitat von @caribic:

Hallo Zusammen,

ich habe ein Switch (Netgear S3300) welches nur L2 DHCP Relay unterstützt. Benötige ich jetzt wirklich für jedes VLAN einen eigenen DHCP Server?

Jup, den brauchst du.
Mit einem routingfähigen Layer-3-Switch könntest du auf einem DHCP-Server dann mit mehreren Scopes arbeiten und diese via IP-Helper-Befehl auf dem Switch in die jeweiligen VLANs "injizieren".
Mitglied: aqui
aqui 17.10.2017 um 12:17:54 Uhr
Goto Top
L2 DHCP Relay ist völliger Quatsch, denn sowas gibts im L2 gar nicht. DHCP Relay braucht man ausschliesslich nur im L3, da die DHCP UDP Broadcasts über geroutete Netze nicht weitergeleitet werden wie es bei UDP Broadcasts allgemein so ist beim Routing.
Im L2 gibt es sowas nicht, da nur Mac basiertes Forwarding.
L2 und Relay ist folglich Blödsinn in dem Umfeld.
Mitglied: 108012
108012 17.10.2017 um 13:08:21 Uhr
Goto Top
Hallo,

im Hanbuch steht etwas über;

L2 SERVICES - MULTICAST FILTERING
IGMP snooping (v1, v2 and v3) Yes
MLD snooping support (v1 and v2) Yes
IGMP snooping queries Yes
Block unknown multicast Yes
Multicast VLAN Registration (MVR) Yes

L3 SERVICES - DHCP
DHCP client Yes
DHCP snooping Yes
DHCP relay Yes

L3 SERVICES - IPV4 ROUTING
Static routing 32
Host ARP table 512
Router Discovery (IRDP)

Wenn man richtige Layer3 Switche mit dynamischen Routing benötigt und dann Layer2 plus statischem Routing (L2+)
Switche kauft, ist das aber auch nicht unbedingt durch den Hersteller zu lösen denn der weiß eigentlich nicht was
seine Kunden im einzelnen brauchen, das muss jeder vorher mit sich selber abmachen, oder?

Dann lieber M4300 oder M5300 Switche kaufen die haben das dann alles gleich mit an Board oder aber als Budget
Lösung wären hier noch die beiden Smart Managed Switche XS728T und XS748T zu nennen, denn die haben nicht
nur ein Layer2+ Menü sondern auch ein Layer3 light Menü mit an Board, wohl eher ein kastriertes Layer3
Softwarepaket, aber sie routen die VLANs selber!

Gruß
Dobby
Mitglied: caribic
caribic 18.10.2017 aktualisiert um 08:28:44 Uhr
Goto Top
Also erstmal vielen Dank für eure Antworten.

Für mich hat sich aus dem Datenblat ergeben, das es sich um ein Layer 3 Switch handelt. Im Datenblatt stehen alle benötigen Dinge drin. Dynamisches Routing habe ich nicht als notwendig gesehen, da ich davon ausging, dass ich die Routen auch manuel erstellen kann.

Des weiteren bin ich aber auch der Meinung, dass der DHCP Broadcast nicht geroutet wird. Wenn das Datenblatt stimmen würde, dann hätte ich auch ganz einfach den Layer 3 DHCP Relay verwendet, dann wäre alles gut. Aber Netgear hat ein Fehler im Datenblatt, denn es ist nur ein Layer 2 Relay.

Der Netgear Support meinte, ich sollte nun Option 82 nutzen. Okay, alles gut und schön. Aber woher wissen meine einzelnen VLANS wer der DHCP ist, wenn die DHCP Broadcast nicht geroutet werden.

Vielleicht fehlt mir auch nur das Verständnis was ein L2 Relay ist bzw. was es mir nützt.

Danke für eure Hilfe.
Mitglied: 108012
108012 18.10.2017 um 13:51:48 Uhr
Goto Top
Für mich hat sich aus dem Datenblat ergeben, das es sich um ein Layer 3 Switch handelt.
Es kommt immer darauf an was dort wirklich drinnen steht und als was der Switch beworben wird!
Es gibt hier Layer3, Layer3 light, Layer2 und Layer2+
- Layer3 ist ein volles Layer3 Menü mit allem was geht (dynaischen Routing und statischem Routing)
- Layer3 light ist ein kastriertes Layer3 Menü
- Layer2 ist eine reines Layer2 Menü ohne statisches Routing
- Layer2+ ist ein Layer2 Menü mit statischem Routing

Im Datenblatt stehen alle benötigen Dinge drin. Dynamisches Routing habe ich nicht als notwendig gesehen,
da ich davon ausging, dass ich die Routen auch manuel erstellen kann.
Das ist das Routing zwischen den VLANs!!! Viele Benutzer schauen nur nach dem VLAN support und gut ist es.

Des weiteren bin ich aber auch der Meinung, dass der DHCP Broadcast nicht geroutet wird.
Du hast hier zwei Möglichkeiten, Du glaubst es oder Du glaubst es nicht, aber davon gibt es keine Funktionsupgrades
oder eine Lösung die Dich weiter bringt. Man kann VLANs auf zwei unterschiedliche Arten und Weisen aufsetzen;
- Layer2 Switch und alle sind von einander getrennt oder aber der Router oder die Firewall erledigen das Routing.
- Layer3 Switch routet selber zwischen den VLANs und jedes hat sein eigenes IP Netz

Wenn das Datenblatt stimmen würde, dann hätte ich auch ganz einfach den Layer 3 DHCP Relay verwendet,
dann wäre alles gut. Aber Netgear hat ein Fehler im Datenblatt, denn es ist nur ein Layer 2 Relay.
DHCP Server und DHCP Relay sind aber leider nicht ein und die selbe Funktion!
Ein DHCP Server vergibt selber die IP Adressen und ein Relay ist jemand der neben dem Server die IP Adressen
vergibt. Entweder als zweiter bzw. zusätzlicher DHCP Server in einem Netz oder aber für den nicht vorhandenen
Server die IP Adressen vergibt. Also sprich hier sind das dann der Router, die Firewall oder gar ein richtiger Layer3
Switch der die Layer2(+) Switche mitroutet!!!

Der Netgear Support meinte, ich sollte nun Option 82 nutzen. Okay, alles gut und schön. Aber woher wissen
meine einzelnen VLANS wer der DHCP ist, wenn die DHCP Broadcast nicht geroutet werden.
Das eine findet auf Layer2 Basis (Mac Adresse) statt und das andere auf Layer3 Basis (IP Adresse).

Vielleicht fehlt mir auch nur das Verständnis was ein L2 Relay ist bzw. was es mir nützt.
Noch einmal, mit einem Layer2 Switch und einem Router oder einer Firewall die nicht VLAN fähig sind
kann man auch VLANs aufziehen, nur vergibt dann dort niemand IP Adressen bzw. man kann nicht
von einem VLAN auf das andere zugreifen. Bei einem Layer3 Switch macht das alles der Switch selber
oder aber einem Layer2 Switch und einem VLAN fähigen Router oder Firewall kann man dann den Router
oder die Firewall zwischen den VLANs routen lassen dann funktioniert es wieder.

Gruß
Dobby
Mitglied: caribic
caribic 18.10.2017 um 14:15:08 Uhr
Goto Top
Zitat von @108012:
Es kommt immer darauf an was dort wirklich drinnen steht und als was der Switch beworben wird!
Es gibt hier Layer3, Layer3 light, Layer2 und Layer2+
- Layer3 ist ein volles Layer3 Menü mit allem was geht (dynaischen Routing und statischem Routing)
- Layer3 light ist ein kastriertes Layer3 Menü
- Layer2 ist eine reines Layer2 Menü ohne statisches Routing
- Layer2+ ist ein Layer2 Menü mit statischem Routing

Bei mir war 2+ /3light immer das gleiche! Danke für die Aufklärung.


Im Datenblatt stehen alle benötigen Dinge drin. Dynamisches Routing habe ich nicht als notwendig gesehen,
da ich davon ausging, dass ich die Routen auch manuel erstellen kann.
Das ist das Routing zwischen den VLANs!!! Viele Benutzer schauen nur nach dem VLAN support und gut ist es.

Dynamisches Routing heißt doch nur, dass das Switch die Routen zwischen den VLANs automatisch setzt, oder? Diese Routen wollte ich statisch selber setzen... wäre doch prinzipiell möglich oder?


Des weiteren bin ich aber auch der Meinung, dass der DHCP Broadcast nicht geroutet wird.
Du hast hier zwei Möglichkeiten, Du glaubst es oder Du glaubst es nicht, aber davon gibt es keine Funktionsupgrades
oder eine Lösung die Dich weiter bringt. Man kann VLANs auf zwei unterschiedliche Arten und Weisen aufsetzen;
- Layer2 Switch und alle sind von einander getrennt oder aber der Router oder die Firewall erledigen das Routing.
- Layer3 Switch routet selber zwischen den VLANs und jedes hat sein eigenes IP Netz

Dachte ich mir fast, deswegen komme ich ja momentan nicht weiter... face-smile

Wenn das Datenblatt stimmen würde, dann hätte ich auch ganz einfach den Layer 3 DHCP Relay verwendet,
dann wäre alles gut. Aber Netgear hat ein Fehler im Datenblatt, denn es ist nur ein Layer 2 Relay.
DHCP Server und DHCP Relay sind aber leider nicht ein und die selbe Funktion!

Das DHCP Server und Relay (Helper) nicht das gleiche sind ist klar. Ich wollte ja mit dem Relay eine Verbindung zu meinem vorhandenen Server aufbauen. Daher hatte ich mich auf das Manual verlassen, in dem stand dass es ein L3 DHCP Relay ist.

Der Netgear Support meinte, ich sollte nun Option 82 nutzen. Okay, alles gut und schön. Aber woher wissen
meine einzelnen VLANS wer der DHCP ist, wenn die DHCP Broadcast nicht geroutet werden.
Das eine findet auf Layer2 Basis (Mac Adresse) statt und das andere auf Layer3 Basis (IP Adresse).

Daher meine Frage wie genau ein L2 DHCP Relay funktioniert. Prinzipiell leitet dieser die Anfragen doch auch nur an einen L3 Relay weiter oder?

Vielleicht fehlt mir auch nur das Verständnis was ein L2 Relay ist bzw. was es mir nützt.
Noch einmal, mit einem Layer2 Switch und einem Router oder einer Firewall die nicht VLAN fähig sind
kann man auch VLANs aufziehen, nur vergibt dann dort niemand IP Adressen bzw. man kann nicht
von einem VLAN auf das andere zugreifen. Bei einem Layer3 Switch macht das alles der Switch selber
oder aber einem Layer2 Switch und einem VLAN fähigen Router oder Firewall kann man dann den Router
oder die Firewall zwischen den VLANs routen lassen dann funktioniert es wieder.

Auch diese Vorgehensweise ist mir bewusst. Allerdings verstehe ich immernoch nicht wie ein L2 Relay funktioniert!

Danke für deine Erläuterungen!!!
Mitglied: 108012
108012 18.10.2017 um 14:39:17 Uhr
Goto Top
Auch diese Vorgehensweise ist mir bewusst. Allerdings verstehe ich immernoch nicht wie ein L2 Relay funktioniert!
Man kann das auch mittels der statischen Router selber machen, gar keine Frage, nur bei einer Hin- und einer Rückroute
pro Endpunkt ist man da auch schnell am Ende angelangt oder muss ewig wieder ran an die Sache!

Danke für deine Erläuterungen!!!
Layer2 DHCP Relay
Bilder sagen oft mehr als tausend Worte. Der Layer2 DHCP Relay Agent kann wie schon gesagt ein Layer3 Switch, Router,
eine Firewall oder aber auch ein kleiner RaspBerry PI 3.0 sein der dann die IP Adressen via DHCP vergibt. Und eben diesen
trägt man dann unter der Layer2 DHCP Relay Agent Adresse ein.

Gruß
Dobby
Mitglied: caribic
caribic 18.10.2017 um 15:18:53 Uhr
Goto Top
Zitat von @108012:
Danke für deine Erläuterungen!!!
Layer2 DHCP Relay
Bilder sagen oft mehr als tausend Worte. Der Layer2 DHCP Relay Agent kann wie schon gesagt ein Layer3 Switch, Router,
eine Firewall oder aber auch ein kleiner RaspBerry PI 3.0 sein der dann die IP Adressen via DHCP vergibt. Und eben diesen
trägt man dann unter der Layer2 DHCP Relay Agent Adresse ein.

Diesen Link kannte ich schon und genau hier ist der Knackpunkt. Das dort gezeigte Bild ist meines Erachtens falsch. Weil ich von einem L2 Relay nicht direkt auf den Server komme (ich kann keine IP angeben). Denn genau so wie in diesem Bild wollte ich es ja konfigurieren.

Wer mir erklärt, wie ich diese Zeichnung in die Realität umsetze, den geb ich einen aus. face-smile

Es kann nur ein L3 Relay die giaddr anpassen. Meines erachtens müsste in die Netgear Grafik noch ein L3 Relay, damit es passt.
Mitglied: caribic
caribic 30.10.2017 um 11:37:44 Uhr
Goto Top
Ich muss nochmal eure Hilfe in Anspruch nehmen, Thema VLAN/Routing/Gateway

ich habe meine VLANs eingerichtet und habe für jedes VLAN ein Routing Interface.

Switchadresse; 192.168.0.254 | 255.255.255.0
Gateway 192.168.0.1 | 255.255.255.0

VLAN1 192.168.0.254 | 255.255.255.0
VLAN100 192.168.100.254 | 255.255.255.0
VLAN101 192.168.101.254 | 255.255.255.0

Untereinander funktioniert das Routing. Allerdings habe ich vom VLAN 100/101 kein Internetzugriff. Aus VLAN1 funktioniert alles. Auch ein Ping auf den Gateway funktioniert nicht.

Nun habe ich im folgenden Link gefunden:
https://kb.netgear.com/30818/How-to-configure-routing-VLANs-on-a-NETGEAR ...

Warum werden auf dem Router nochmal alle VLANs eingerichtet? Dafür ist doch eigentlich das Layer 3 Managed Switch da, welches Routen soll.

Ich hatte mir das so vorgestellt.

VLAN 100 -> Gateway 192.168.100.254 -> und dann greift doch die Default Route des Switches 0.0.0.0 -> 192.168.0.1.

Ich hatte testweise auch auf dem Router nochmal für jedes Netz einen Routingeintrag gemacht. Vielleicht ist hier auch ein Fehler.? Wie müssten die Routen dort ausschauen?

Ich habe die VLANS angelegt, die Routinginterfaces eingerichtet und alle ACL's deaktiviert. Es hängt nur am Gateway...

Habt Ihr eine Idee?

Danke!
Mitglied: aqui
aqui 30.10.2017 aktualisiert um 12:07:15 Uhr
Goto Top
Habt Ihr eine Idee?
Klar, bei solchen Banalitäten immer face-wink
ich habe meine VLANs eingerichtet und habe für jedes VLAN ein Routing Interface.
Richtig !
Allerdings habe ich vom VLAN 100/101 kein Internetzugriff
Dann hast du mit an Sicherheit grenzender Wahrscheinlichkeit einen dieser 2 Fehler oder auch beide gleichzeitig gemacht:
1.) Vergessen die Default Route auf dem Switch auf den Internet Router in VLAN 1 einzutragen !
Der Switch muss eine Default Route oder Default Gateway auf die 192.168.0.1 (geraten !) sprich den Internet Router eingetragen haben.
2.) Vergessen auf dem Internet Router eine statische Route in die VLANs 100 und 101 einzutragen !
Logischerweise muss auf dem Internet Router zwei statische Routen im Setup definiert werden:
a.) Zielnetz: 192.168.100.254, Maske: 255.255.255.0, Gateway: 192.168.0.254

und
b.) Zielnetz: 192.168.101.254, Maske: 255.255.255.0, Gateway: 192.168.0.254

Ohne diese beiden statischen Routen würde der Internet Router logischerweise die beiden lokalen VLAN IP Netze .100.0 /24 und .101.0 /24 doch gar nicht kennen und würde sie dann an sein Default Gateway sprich den Provider routen wo sie dann im Nirwana auf Nimmerwiedersehen verschwinden !
Genau das was bei dir passiert. Übrigens hätten deine beiden Freunde Traceroute oder Pathping dir das sofort gezeigt !
Bitte lese dir dringend die Routing Grundlagen im hiesigen Forums Tutorial durch !! Dann verstehst du ganz schnell:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Warum werden auf dem Router nochmal alle VLANs eingerichtet?
Das ist natürlich völliger Quatsch ! Das macht ja der L3 Switch aber die statischen Routen müssen dahin !
VLAN 100 -> Gateway 192.168.100.254 -> und dann greift doch die Default Route des Switches 0.0.0.0 -> 192.168.0.1.
Genau richtig !
Wenn dann allerdings die statischen Routen für den Rückweg der Pakete am Internet Router fehlen (Routing ist logischerweise immer bidirektional !) dann ist das eben nur die halbe Miete deiner "Vorstellung" !
Vielleicht ist hier auch ein Fehler.? Wie müssten die Routen dort ausschauen?
Das ist zu vermuten das dort der Fehler ist ?!
So müssen sie wie gesagt aussehen:
Statische Route 1: 192.168.100.254, Maske: 255.255.255.0, Gateway: 192.168.0.254
Statische Route 2: 192.168.101.254, Maske: 255.255.255.0, Gateway: 192.168.0.254

Wie bereits gesagt: Traceroute oder Pathping sind hier deine Freunde.
Mitglied: caribic
caribic 30.10.2017 um 12:14:59 Uhr
Goto Top
Wow, danke für die schnelle Antwort. Genau diese Routen hatte ich testweise eingetragen, war mir dann aber nicht sicher... also muss noch irgendwo ein anderer Fehler sein. Ich werd nochmal ne Nacht tüfteln und weiterschauen. Danke!
Mitglied: aqui
aqui 30.10.2017 aktualisiert um 12:36:25 Uhr
Goto Top
3 wichtige Fragen:
1.) Kannst du mit einem PC aus dem VLAN 100 oder 101 die IP des Switches im VLAN 1 192.168.0.254 anpingen ??
2.) Kannst du mit einem PC aus dem VLAN 100 oder 101 die IP des Internet Routers 192.168.0.1 anpingen ??
3.) Was sagt denn ein Traceroute von einem PC aus dem VLAN 100 oder 101auf die 8.8.8.8 ??
Das wäre mal wichtig zu wissen.
Statische Routen müssen auf dem Switch NICHT eingerichtet werden für die lokalen VLANs. Logischewrweise "kennt" der Switch die ja, da sie an ihm direkt angeschlossen sind. Der Switch braucht einzig und allen nur eine Default Route ! Mehr nicht !
Zusätzlich: Ist der DNS Server auf den Geräten in den VLANs 100 oder 101 auch auf die 192.168.0.1 (Internet Router) gesetzt ?
Ggf. auch mal Screenshot des Routing Setups auf dem Internet Router und des Switches posten.