Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vlans und DHCP (IP-Helper?)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: pictop

pictop (Level 1) - Jetzt verbinden

24.08.2010, aktualisiert 25.08.2010, 30835 Aufrufe, 10 Kommentare

1 Dhcp 4 Vlans wie konfigurien

Hallo,

Ich habe einen Windows Server 2008 R2 Server (Rolle DHCP) einen Switch (Catalyst 3560) und möchte gerne den Switch so konfigurieren das der einen DHCP Server die IP in allen VLANs vergibt.

Im Internet fand ich heraus, dass das angeblich mit der Funktion IP-Helper funktionieren soll.
Leider fand ich keine Anleitung wie.

Ist meine Information korrekt (Funktioniert das mit IP - Helper)?

Hat jemand eine Anleitung zu Konfiguration?

Vielen Dank für eure Hilfe,

Pictop
Mitglied: brammer
24.08.2010 um 11:54 Uhr
Hallo,

ist doch alle schön dokumentiert:

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...

brammer
Bitte warten ..
Mitglied: pictop
24.08.2010 um 15:00 Uhr
Vielen dank dass hilft mir weiter.

Mfg
Pictop
Bitte warten ..
Mitglied: aqui
24.08.2010 um 16:51 Uhr
Dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: pictop
24.08.2010 um 16:56 Uhr
Mach ich auch sobald das Problem behoben ist!

Noch funktioniert es nicht und sollte ich noch Hilfe brauchen kann ich es einfach hier reinschreiben.
Bitte warten ..
Mitglied: aqui
25.08.2010 um 13:04 Uhr
Wo ist den dein Problem. Die Konfig ist doch ein Kinderspiel. Angenommen dein DHCP Server hat die IP 172.16.1.100 in VLAN 1 und Clients sind in VLAN 2, 3 und 4, dann sieht deine Cisco Konfig so aus:

Cisco_Switch#

clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/10
description DHCP Server Netz in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/12
description Enduser Ports in VLAN 2
switchport access vlan 2
spanning-tree portfast
!
interface FastEthernet0/14
description Enduser Ports in VLAN 3
switchport access vlan 3
spanning-tree portfast
!
interface FastEthernet0/17
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
!
interface Vlan1
ip address 172.16.1.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 172.16.2.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan3
ip address 172.16.3.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
ip helper-address 172.16.1.100
no ip route-cache
!
end

Mit dem Kommando ip helper-address 172.16.1.100 werden die DHCP Requests der Clients in den VLANs 2, 3 und 4 auf den Server mit der IP 172.16.1.100 geforwardet.
Logischerweise MUSS dieser Server natürlich auch die DHCP Scopes für die Subnetze 172.16.2.0 /24, 172.16.3.0 /24 und 172.16.4.0 /24 eingetragen haben !!
Damit funktioniert das in mickrigen 5 Minuten problemlos auf Anhieb !!
Bitte warten ..
Mitglied: pictop
25.08.2010 um 13:20 Uhr
Hat immer noch nicht so ganz geklappt.

Hier mal meine Konfigurationen:

Switch#show running-config
Building configuration...

Current configuration : 5286 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
system mtu routing 1500
authentication mac-move permit
ip subnet-zero
!
!
!
!
crypto pki trustpoint TP-self-signed-20950
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-20950
revocation-check none
rsakeypair TP-self-signed-20950
!
!
crypto pki certificate chain TP-self-signed-20950
certificate self-signed 01
3082023D
quit
dot1x system-auth-control
dot1x test timeout 60
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
description Notebook ohne 802.1x
switchport mode access
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/2
description Not Set
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/3
description Notenook mit 802.1x
switchport mode access
authentication event no-response action authorize vlan 2
authentication host-mode multi-host
authentication port-control auto
authentication periodic
authentication timer reauthenticate 4000
dot1x pae authenticator
dot1x max-req 5
spanning-tree portfast
!
interface FastEthernet0/4
shutdown
!
interface FastEthernet0/5
description Server
spanning-tree portfast
!
interface FastEthernet0/6
shutdown
!
interface FastEthernet0/7
description MAC Adress Authorisation
switchport access vlan 3
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
authentication violation protect
mab
no snmp trap link-status
dot1x pae authenticator
spanning-tree portfast
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.254 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 192.168.1.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan3
ip address 192.168.2.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan4
ip address 192.168.3.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan5
ip address 192.168.4.254 255.255.255.0
ip helper-address 192.168.0.1
no ip route-cache
no ip mroute-cache
!
interface Vlan6
ip address 192.168.5.254 255.255.255.0
ip helper-address 192.168.0.1
!
ip classless
ip http server
ip http secure-server
!
ip sla enable reaction-alerts
radius-server host 192.168.0.1 auth-port 1812 acct-port 1646 key
!
!
line con 0
password cisco
line vty 0 4
password cisco
line vty 5 15
password cisco
!
end

Beim DHCP Server wurden die Scope eingerichtet
Scope 192.168.0.0
Scope 192.168.1.0
Scope 192.168.2.0
usw.
Bitte warten ..
Mitglied: aqui
25.08.2010 um 16:42 Uhr
Die Konfig ist soweit OK. Mal abgesehen davon das du nur das default VLAN 1 und das VLAN 3 auf den Ports der o.a. Konfig hast aber zum testen reicht das ja.
Deine Falle ist vermutlich die aktive 802.1x und Mac Adressen Authentisierung an den Ports. Vermutlich verhindert die eine korrekte DHCP Vergabe.

Nimm dir mal einen Wireshark Sniffer und checke am DHCP Server ob dort überhaupt DHCP Requests aus dem VLAN 3 ankommen oder debugge UDP Packete am Cisco Switchport.
Oder noch einfacher: Mach die ganze Switchkonfig "nackig" an den Ports mit denen du die DHCP Option testest.
Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen.
Logischerweise testet man dann erstmal das grundlegende wie DHCP mit eine einfachen Grundkonfig und geht dann in die Details.
Nochwas: hast du die Firewall auf dem Server (DHCP) entsprechend angepasst das diese auch fremde IP Pakete zulässt ??
Wenn nicht werden die DHCP Requests vom anderen Subnetz ignoriert, denn wie die ganze Netzwerk Welt weisst lässt eine Win Firewall nur lokale Packete durch ! Das musst du also ggf. anpassen !
Was passiert am Client ? Geht der in "eingeschränkte Konnektivität" ?? Oder kommen DHCP Teile an. Was sagt ein ipconfig -all ?
De facto funktioniert funktioniert diese Konfig auf Anhieb ! Millionen Cisco Kunden weltweit sind der Beweis ! Details zum Kommando stehen hier:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/command/reference/1rdi ...
Bitte warten ..
Mitglied: pictop
25.08.2010 um 16:51 Uhr
Ok vielen dank ich teste es morgen durch und melde mich dann.


"Es macht ka keinen Sinn tausende von Sicherheitsfeatures auf den Port zu legen um sich dann zu wundern das relevante Pakete nicht durchkommen"

Das ist mir schon klar nur das ziel ist 802.1x aktiv zu lassen da es (außer dhcp) perfekt funktioniert.



Mfg
Pictop
Bitte warten ..
Mitglied: pictop
26.08.2010 um 10:09 Uhr
Ich habe mal die Windows Firewall komplett ausgeschaltet (Sowohl Server als auch Client)

Auch die Radius Konfiguration hab ich mal entfernt.

Solang sich der Computer in VLAN 1 befindet funktioniert (logischerweise) alles, er bekommt eine (192.168.0.3 255.255.255.0) Adresse soweit ok.


Sobald er aber in ein anderes VLAN verschoben wird passiert nichts: DHCP Pakete sind keine (laut Wireshark) die Verbindung geht auf Eingeschränkte "Konnektivität" und er bekommt einen von Notebook zugewiesene IP (169.254.157. 185 255.255.0.0)
Bitte warten ..
Mitglied: pictop
26.08.2010 um 11:12 Uhr
Hat sich erledigt danke!



Es lag am einer Fehlkonfiguration des Netzwerkinterface vom Server
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Cisco SG300 DHCP an VLAN (17)

Frage von Maik82 zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Mehrere VLANs auf SG300 Switch per DHCP versorgen (24)

Frage von stpb10 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst DHCP auf VLAN-Interface von PfSense nicht aktiv (13)

Frage von Asmodes zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
IP-Cam aus verschiedenen VLANs (2)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Rechtliche Fragen
gelöst Geschäftsführer Email gefaked (18)

Frage von xbast1x zum Thema Rechtliche Fragen ...

Vmware
VMware ESX - Start einer VM verhindern (16)

Frage von emeriks zum Thema Vmware ...

Vmware
gelöst Update auf ESXI 6.5 Installieren (15)

Frage von zeroblue2005 zum Thema Vmware ...

iOS
IPhone wird ferngesteuert Hacker? (15)

Frage von Akcent zum Thema iOS ...