Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN und DHCP

Frage Netzwerke Router & Routing

Mitglied: Maik20

Maik20 (Level 1) - Jetzt verbinden

13.09.2017 um 16:52 Uhr, 504 Aufrufe, 6 Kommentare

Hallo,

ich habe mal eine grundlegende Frage zum Thema VLAN und DHCP. Ich habe hier 3 VLANs:

VLAN2: Internet
VLAN5: Administration
VLAN10:Server
VLAN90: Gastnetz

Sowie einen L3 Switch den SG300 von Cisco.

Für das VLAN2, 5 und 10 ist auf dem Switch eine IP-Adresse konfiguriert. Somit routen der Switch die Netze untereinander. Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.

Daneben gibt es eine ACL die Zugriff von VLAN5 nach VLAN10 erlaubt, jedoch 10 nicht nach 5 darf.

Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.

Meine Frage bezieht sich auf das VLAN10 und 90 bzgl. dem DHCP Server.

Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?
Gleiche Frage bzgl. VLAN 10. Hier gibt es besagte ACL.

Muss ich also für die Netze eigene DHCP-Server aufsetzen?

Gruß

Maik
Mitglied: Pjordorf
13.09.2017 um 17:16 Uhr
Hallo,

Zitat von Maik20:
Im VLAN10 läuft ein DHCP Server auf Basis von Windows 2016. Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen. Wenn ich es richtig verstehe lege ich einfach ein entsprechenden Scope pro VLAN an.
Si und natürlich müssen deine Clients wiisen WO denn dein DHCP werkelt. Ein DHCP helper (DHCP Relay) ist also unausweichlich. Nur bei dein VLAN90 siehst schwarz aus und du solltest Clients aus VLAN10 schon erlauben sich IPs dort abzuholen/erneuern. Ports 67/68 UDP helfen da.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
http://www.techieshelp.com/cisco-switches-setup-dhcp-relay/

Muss ich also für die Netze eigene DHCP-Server aufsetzen?
Muss? Nein, können ja

Gruß,
Peter
Bitte warten ..
Mitglied: chgorges
13.09.2017, aktualisiert um 20:53 Uhr
Zitat von Maik20:
Das VLAN90 verfügt über keine IP, dieses wird auf den Router (tagged) durchgereicht.
Kann der Server im 90er VLAN überhaupt Adressen vergeben? Da der Switch ja nicht direkt routet?

Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash
Bitte warten ..
Mitglied: Maik20
13.09.2017 um 21:09 Uhr
Dann hast du einen groben Designfehler begangen.
Wenn man einen Layer3-Switch hat und plant, Inter-VLAN-Routing einzusetzen, nimmt man niemals zu keiner Zeit einen zusätzlichen Router fürs Routing, sondern überlässt das dem Layer3-Switch.

Der o.g. Router ist die PA220 und dient als Firewall und stellt die Verbindung mit dem Modem her. Mir ist nicht bekannt, dass der SG300 in der Lage direkt ein Modem zu bedienen. Daneben bietet die Firewall eine ganz andere Stufe als der Cisco Switch. Somit reiche ich das Gastnetz und die DMZ zur PA220 durch. Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer anderen Lösung überzeugen.


Aus einem einfachen Grund: Du musst in jedem DHCP-Scope einen Router/Gateway mit IP-Adresse angeben, welche hinterher das Gateway für die jeweiligen Clients in den VLANs ist.
Also gibst du die jeweiligen VLAN-IPs des SG300 an.
Aber halt, der SG300 routet ja gar nicht, also können die VLAN-IPs nicht als Scope-Gateways angegeben werden.

-> Designcrash

Das sehe ich anders. Der Switch routet die internen Netze. Für diese müsste also definitiv eine Adressvergabe über den DHCP-Server funktionieren. DHCP-Relay auf dem Switch vorausgesetzt. Beim Gastnetz bin ich mir eben nicht sicher ob das so funktioniert. Vermutlich nicht über den L3-Switch sondern wenn dann mittels DHCP-Relay über die PA220.

Die entscheidende Frage ist für mich aber ob eine Zugriffsbeschränkung zwischen den VLANs mittels ACL auch die DHCP Adressvergabe betrifft. Oder ob die DHCP-Adressvergabe die ACL sozusagen überspringt? Oder ob ich ggf. auf dem SG300 Einstellungen vornehmen muss, damit die DHCP-Adressvergabe nicht durch die ACL behindert wird.
Bitte warten ..
Mitglied: chgorges
13.09.2017 um 21:19 Uhr
Zitat von Maik20:
Die "internen" Netze werden direkt über den Switch geroutet. Warum da ein Flaschenhals aufbauen? Aber ich lasse mich hier gerne von einer > anderen Lösung überzeugen.

Das sehe ich anders. Der Switch routet die internen Netze.

Das ist letztendlich das, was ich meine, was für mich aus deiner Eingangsdefinition aber nicht herauslesbar war
Bitte warten ..
Mitglied: maretz
14.09.2017 um 07:02 Uhr
Ich finde es immer wieder schön wenn Personen meinen "ein Konzept passt immer für alles" - und dann gleich sagen das macht man "niemals, zu keiner Zeit". Einmal irgendwo "Best Practices" gelesen und immer schön wiederholen - leider die Einleitung dazu übersprungen in der üblicherweise steht das diese passen können, aber nicht müssen und man das auf die jeweiligen Anforderungen abstimmen muss.

Hier ist das z.B. grad Standard das beides gemacht wird - da es interne Netze gibt die aufgrund von Entertainment-Systemen auch grosse Datenmengen übertragen (TV-Streams, Video on Demand,...). Das möchtest du dann nämlich nicht erst durch den Router schaufeln müssen - der bräuchte dann gleich eine ganze Reihe von Interfaces mehr (was dann auch entsprechend kostet). Und auch die Leistung müsste direkt einige Klassen höher gehen - was auch wieder den Preis hochzieht.

Andersrum gibt es aber auch mehrere Gateways nach aussen (SAT, Mobilnetz, Richtfunkstrecke). Ich denke da könnte es für den Switch (auch L3) ein Problem werden vernünftige Routing-Regeln zu bauen inkl. automatisches Umschalten...

Und schon hast du deinen "groben Designfehler" als ganz normale Umgebung...
Bitte warten ..
Mitglied: aqui
14.09.2017 um 11:32 Uhr
Ich würde gerne über den DHCP-Server auch die Adressvergabe für die VLANs 5 und 90 durchführen
Das ist problemlos möglich.
lege ich einfach ein entsprechenden Scope pro VLAN an.
Das wäre der erste Schritt
Kann der Server im 90er VLAN überhaupt Adressen vergeben?
Generell gesehen kann der Server in allen VLANs DHCP IP Adressen vergeben.
DHCP basiert auf UDP Broadcast. Also Client macht einen All Net UDP Broadcast an die IP 255.255.255.255 und fragt nach einem DHCP Server in dem Netz. Der antwortet und vergibt die IP.
Normal sind diese Broadcasts immer lokal auf das jeweilige Netz bezogen. Router forwarden per se generell keinerlei Broadcasts. Deshalb muss man das also etwas cistomizen, das der DHCP Server auch diese DHCP Broadcasts erhält.
Das erledigt ein sog. DHCP Relay oder DHCP Helper Adresse
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
auf dem Router. Der erkennt diese DHCP Broadcasts im jeweiligen Segment, ersetzt die Absender IP mit der eigenen aus dem Segment und forwardet das an die ihm konfigurierte DHCP Server Adresse.
So erreichen den Server diese Requests und er kann dann mit dem richtigen Scope antworten.
Was du jetzt also machen musst ist den DHCP Helper an den IP VLAN Segmenten zu aktivieren wo DHCP Broadcasts geforwardet werden müssen also die VLANs 5 und ggf. 2 sofern in 2 DHCP Endgeräte sind. Sonst nur 5.
VLAN 10 kann logischerweise entfallen, da ist der Server ja selber drin.
Eine Besonderheit ist das VLAN 90 das Gastnetz, da du hier ja richtigerweise keine IP am Switch hast und das Routing der Gäste am Router direkt passiert.
Hier musst du also für das VLAN 90 den DHCP Helper am Router definieren, das der diese 90er Requests an den Server forwardet. Ein simple Frage der Konfiguration !
Was die ACLs anbetrifft musst du natürlich dafür sorgen das die ACL so eingestellt ist das UDP Pakete mit Ziel Port 67 die ACL passieren dürfen. Logisch, denn sonst würden die DHCP Requests der Clients gar nicht ankommen.
Im Grunde ein einfaches Unterfangen und klassicsch wenn man einen zentralen DHCP Server betreibt.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Cisco SG300 DHCP an VLAN
gelöst Frage von Maik82Netzwerkmanagement17 Kommentare

Guten Tag, Ich bin ganz neu in der Cisco Wellt. Ich habe mir einen CISCO SG300 /28 Zugelegt um ...

Netzwerkmanagement
Problem DHCP und VLAN
Frage von idontknowNetzwerkmanagement6 Kommentare

Hi, Ich würde mich sehr freuen, wenn mir jemand bei meinem kleinen aber feinen Problem helfen könnte ;-) Problem: ...

LAN, WAN, Wireless
PFsense DHCP arbeitet nicht im VLAN
gelöst Frage von sleeplessnightLAN, WAN, Wireless5 Kommentare

Hallo ihr, ich habe ein vorher funktionierendes Netzwerk mit VLAN's mit der PFsense übernommen. Ich sag das extra, damit ...

Netzwerke
Ein DHCP für mehrere VLANs
Frage von DesperandoNetzwerke3 Kommentare

Hallo, ich habe folgendes Problem: Ich habe einen Windows 2012 R2 DHCP Server. Dieser hat mehrere Bereiche (für jedes ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 19 StundenMicrosoft Office8 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 21 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 22 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 1 TagMicrosoft Office3 Kommentare

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner13 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...