Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vlans und DHCP (IP-Helper?)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: pictop

pictop (Level 1) - Jetzt verbinden

24.08.2010, aktualisiert 25.08.2010, 27187 Aufrufe, 10 Kommentare

1 Dhcp 4 Vlans wie konfigurien

Hallo,

Ich habe einen Windows Server 2008 R2 Server (Rolle DHCP) einen Switch (Catalyst 3560) und möchte gerne den Switch so konfigurieren das der einen DHCP Server die IP in allen VLANs vergibt.

Im Internet fand ich heraus, dass das angeblich mit der Funktion IP-Helper funktionieren soll.
Leider fand ich keine Anleitung wie.

Ist meine Information korrekt (Funktioniert das mit IP - Helper)?

Hat jemand eine Anleitung zu Konfiguration?

Vielen Dank für eure Hilfe,

Pictop
Mitglied: brammer
24.08.2010 um 11:54 Uhr
Hallo,

ist doch alle schön dokumentiert:

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...

brammer
Bitte warten ..
Mitglied: pictop
24.08.2010 um 15:00 Uhr
Vielen dank dass hilft mir weiter.

Mit freundlichen Grüßen
Pictop
Bitte warten ..
Mitglied: aqui
24.08.2010 um 16:51 Uhr
Dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: pictop
24.08.2010 um 16:56 Uhr
Mach ich auch sobald das Problem behoben ist!

Noch funktioniert es nicht und sollte ich noch Hilfe brauchen kann ich es einfach hier reinschreiben.
Bitte warten ..
Mitglied: aqui
25.08.2010 um 13:04 Uhr
Wo ist den dein Problem. Die Konfig ist doch ein Kinderspiel. Angenommen dein DHCP Server hat die IP 172.16.1.100 in VLAN 1 und Clients sind in VLAN 2, 3 und 4, dann sieht deine Cisco Konfig so aus:

Cisco_Switch#

clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/10
description DHCP Server Netz in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/12
description Enduser Ports in VLAN 2
switchport access vlan 2
spanning-tree portfast
!
interface FastEthernet0/14
description Enduser Ports in VLAN 3
switchport access vlan 3
spanning-tree portfast
!
interface FastEthernet0/17
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
!
interface Vlan1
ip address 172.16.1.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 172.16.2.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan3
ip address 172.16.3.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
end

Mit dem Kommando ip helper-address 172.16.1.100 werden die DHCP Requests der Clients in den VLANs 2, 3 und 4 auf den Server mit der IP 172.16.1.100 geforwardet.
Logischerweise MUSS dieser Server natürlich auch die DHCP Scopes für die Subnetze 172.16.2.0 /24, 172.16.3.0 /24 und 172.16.4.0 /24 eingetragen haben !!
Damit funktioniert das in mickrigen 5 Minuten problemlos auf Anhieb !!
Bitte warten ..
Mitglied: pictop
25.08.2010 um 13:20 Uhr
Hat immer noch nicht so ganz geklappt.

Hier mal meine Konfigurationen:

Switch#show running-config
Building configuration...

Current configuration : 5286 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
system mtu routing 1500
authentication mac-move permit
ip subnet-zero
!
!
!
!
crypto pki trustpoint TP-self-signed-20950
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-20950
revocation-check none
rsakeypair TP-self-signed-20950
!
!
crypto pki certificate chain TP-self-signed-20950
certificate self-signed 01
3082023D
quit
dot1x system-auth-control
dot1x test timeout 60
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
description Notebook ohne 802.1x
switchport mode access
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/2
description Not Set
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/3
description Notenook mit 802.1x
switchport mode access
authentication event no-response action authorize vlan 2
authentication host-mode multi-host
authentication port-control auto
authentication periodic
authentication timer reauthenticate 4000
dot1x pae authenticator
dot1x max-req 5
spanning-tree portfast
!
interface FastEthernet0/4
shutdown
!
interface FastEthernet0/5
description Server
spanning-tree portfast
!
interface FastEthernet0/6
shutdown
!
interface FastEthernet0/7
description MAC Adress Authorisation
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 192.168.1.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan3
ip address 192.168.2.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan4
ip address 192.168.3.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan5
ip address 192.168.4.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan6
ip address 192.168.5.254 255.255.255.0
ip helper-address 192.168.0.1
!
ip classless
ip http server
ip http secure-server
!
ip sla enable reaction-alerts
radius-server host 192.168.0.1 auth-port 1812 acct-port 1646 key
!
!
line con 0
password cisco
line vty 0 4
password cisco
line vty 5 15
password cisco
!
end

Beim DHCP Server wurden die Scope eingerichtet
Scope 192.168.0.0
Scope 192.168.1.0
Scope 192.168.2.0
usw.
Bitte warten ..
Mitglied: aqui
25.08.2010 um 16:42 Uhr
Die Konfig ist soweit OK. Mal abgesehen davon das du nur das default VLAN 1 und das VLAN 3 auf den Ports der o.a. Konfig hast aber zum testen reicht das ja.
Deine Falle ist vermutlich die aktive 802.1x und Mac Adressen Authentisierung an den Ports. Vermutlich verhindert die eine korrekte DHCP Vergabe.

Nimm dir mal einen Wireshark Sniffer und checke am DHCP Server ob dort überhaupt DHCP Requests aus dem VLAN 3 ankommen oder debugge UDP Packete am Cisco Switchport.
Oder noch einfacher: Mach die ganze Switchkonfig "nackig" an den Ports mit denen du die DHCP Option testest.
Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen.
Logischerweise testet man dann erstmal das grundlegende wie DHCP mit eine einfachen Grundkonfig und geht dann in die Details.
Nochwas: hast du die Firewall auf dem Server (DHCP) entsprechend angepasst das diese auch fremde IP Pakete zulässt ??
Wenn nicht werden die DHCP Requests vom anderen Subnetz ignoriert, denn wie die ganze Netzwerk Welt weisst lässt eine Win Firewall nur lokale Packete durch ! Das musst du also ggf. anpassen !
Was passiert am Client ? Geht der in "eingeschränkte Konnektivität" ?? Oder kommen DHCP Teile an. Was sagt ein ipconfig -all ?
De facto funktioniert funktioniert diese Konfig auf Anhieb ! Millionen Cisco Kunden weltweit sind der Beweis ! Details zum Kommando stehen hier:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/command/reference/1rdi ...
Bitte warten ..
Mitglied: pictop
25.08.2010 um 16:51 Uhr
Ok vielen dank ich teste es morgen durch und melde mich dann.


"Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen"

Das ist mir schon klar nur das ziel ist 802.1x aktiv zu lassen da es (außer dhcp) perfekt funktioniert.



Mit freundlichen Grüßen
Pictop
Bitte warten ..
Mitglied: pictop
26.08.2010 um 10:09 Uhr
Ich habe mal die Windows Firewall komplett ausgeschaltet (Sowohl Server als auch Client)

Auch die Radius Konfiguration hab ich mal entfernt.

Solang sich der Computer in VLAN 1 befindet funktioniert (logischerweise) alles, er bekommt eine (192.168.0.3 255.255.255.0) Adresse soweit ok.


Sobald er aber in ein anderes VLAN verschoben wird passiert nichts: DHCP Pakete sind keine (laut Wireshark) die Verbindung geht auf Eingeschränkte "Konnektivität" und er bekommt einen von Notebook zugewiesene IP (169.254.157. 185 255.255.0.0)
Bitte warten ..
Mitglied: pictop
26.08.2010 um 11:12 Uhr
Hat sich erledigt danke!



Es lag am einer Fehlkonfiguration des Netzwerkinterface vom Server
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Windows Server
gelöst DHCP IP-Adresse trotz Blacklist bei I-Phones (10)

Frage von funkedelic zum Thema Windows Server ...

LAN, WAN, Wireless
IP-Cam aus verschiedenen VLANs (2)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

Batch & Shell
gelöst Über DHCP vergebene IP mit Powershell als Statische festsetzen (3)

Frage von Zellsior zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...