4515
Jun 02, 2008, updated at Jun 04, 2008 (UTC)
7693
11
0
Windows Server 2003 DHCP für 2 Netzwerksegmente
Folgendes möchte ich machen.
Netzwerksegment A mit 10.0.1.0 / 24
Netzwerksegment B mit 10.0.2.0 / 24
DHCP-Server mit 2 IP-Adressen:
10.0.1.5 / 24
10.0.2.5 / 24
In Netzwerksegment A sollen alle Clients, die eine Reservierung haben, kommen.
In Netzwerksegment B sollen alle Clients, die keine Reservierung haben, kommen.
Client I soll eine Reservierung bekommen:
MAC 00-15-c5-06-5c-eb --> 10.0.1.101
Client II soll keine Reservierung bekommen:
MAC 00-16-41-5a-02-f5
Ich hätte nun 2 Scopes auf dem DHCP-Server eingerichtet, die die beiden Netzwerksegmente abdecken
Scope A
10.0.1.101 - 10.0.1.254
10.0.1.101 - 10.0.1.254 ausgeschlossen
10.0.1.101 (Reservierung für Client I)
Scope B
10.0.2.101 - 10.0.2.254
Ich möchte nun gewährleisten, dass Client I immer die IP von Scope A bekommt. Client II soll immer eine Reservierung von Scopbe B bekommen.
Ist dies technisch richtig überdacht?
Oder kann es sein, dass Client I eine IP von Scope B bekommt?
Ich weiß leider nicht, wie dies der Windows Server 2003 intern umsetzt.
Netzwerksegment A mit 10.0.1.0 / 24
Netzwerksegment B mit 10.0.2.0 / 24
DHCP-Server mit 2 IP-Adressen:
10.0.1.5 / 24
10.0.2.5 / 24
In Netzwerksegment A sollen alle Clients, die eine Reservierung haben, kommen.
In Netzwerksegment B sollen alle Clients, die keine Reservierung haben, kommen.
Client I soll eine Reservierung bekommen:
MAC 00-15-c5-06-5c-eb --> 10.0.1.101
Client II soll keine Reservierung bekommen:
MAC 00-16-41-5a-02-f5
Ich hätte nun 2 Scopes auf dem DHCP-Server eingerichtet, die die beiden Netzwerksegmente abdecken
Scope A
10.0.1.101 - 10.0.1.254
10.0.1.101 - 10.0.1.254 ausgeschlossen
10.0.1.101 (Reservierung für Client I)
Scope B
10.0.2.101 - 10.0.2.254
Ich möchte nun gewährleisten, dass Client I immer die IP von Scope A bekommt. Client II soll immer eine Reservierung von Scopbe B bekommen.
Ist dies technisch richtig überdacht?
Oder kann es sein, dass Client I eine IP von Scope B bekommt?
Ich weiß leider nicht, wie dies der Windows Server 2003 intern umsetzt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 88927
Url: https://administrator.de/contentid/88927
Printed on: April 25, 2024 at 13:04 o'clock
11 Comments
Latest comment
Hallo,
wenn du 2 Netzwerksegment mit unterschiedlichen IP-Adressbereichen hast, so müssen diese über einen Router miteinander verbunden sein. Dieser sollte als DHCP-Relay konfiguriert werden.
Danach erhalten alle Clients aus dem 1. Netz (egal, ob eine Reservierung vorliegt oder nicht) IP-Adressen aus dem 1. Bereich, alle Clients aus dem 2. Segment Adressen aus dem 2. Bereich.
Es ist ebenfalls möglich, den Server mit 2 Netzwerkkarten auszurüsten und diesen als Router zu benutzen.
mfg
Harald
wenn du 2 Netzwerksegment mit unterschiedlichen IP-Adressbereichen hast, so müssen diese über einen Router miteinander verbunden sein. Dieser sollte als DHCP-Relay konfiguriert werden.
Danach erhalten alle Clients aus dem 1. Netz (egal, ob eine Reservierung vorliegt oder nicht) IP-Adressen aus dem 1. Bereich, alle Clients aus dem 2. Segment Adressen aus dem 2. Bereich.
Es ist ebenfalls möglich, den Server mit 2 Netzwerkkarten auszurüsten und diesen als Router zu benutzen.
mfg
Harald
Müssen die Scopes dann eigentlich als Gruppierung konfiguriert werden?
Ich glaube, ich habe mich falsch ausgedrückt.
Ich möchte alle User, die keine DHCP-Reservierung haben in ein eigenes Netzwerksegment "schmeißen". Grund ist, ich möchte Firmenfremde Personen, die sich an mein Netzwerk anstöpseln, in einem eigenen Netzwerksegment haben.
Ich möchte aber verhinden, dass Clients, denen ich mit DHCP eine Reservierung bereits gegeben habe, dass diese nicht in das zweite Netzwerk unbeabsichtigt gelangen.
Verständlich? Ich hoffe es. Ist nicht gerade einfach.
lg Alex
Ich möchte alle User, die keine DHCP-Reservierung haben in ein eigenes Netzwerksegment "schmeißen". Grund ist, ich möchte Firmenfremde Personen, die sich an mein Netzwerk anstöpseln, in einem eigenen Netzwerksegment haben.
Ich möchte aber verhinden, dass Clients, denen ich mit DHCP eine Reservierung bereits gegeben habe, dass diese nicht in das zweite Netzwerk unbeabsichtigt gelangen.
Verständlich? Ich hoffe es. Ist nicht gerade einfach.
lg Alex
Das könntest du beispielsweise mit einem VLAN-fähigen Router, einem Radius-Server und deinem DHCP-Server machen. Die Ports vom Router/Switch werden dann je nach Eintrag im Radius-Server dem einen oder anderen Subnetz/VLAN zugeordnet. Den Server kannst du dann entweder mit zwei Interfaces in beide VLANs hängen oder einfach das oben angesprochene DHCP-Relay innerhalb des Routers nutzen.
Das habe ich alles nicht. Was ich habe ist den Dell 3324-Switch und einen Windows Server 2003. Und mit diesen beiden Geräten muss ich diese Trennung lösen.
Hallo,
diese Aufgabe kommt ja nahe an "mit einem Faustkeil ein Raumschiff bauen".
Wieviele "normale" Clients hast du denn? Evtl. kannst du ja für deine normalen Clients manuelle IP's vergeben (aus dem 1. Bereich) und für deine "Gäste" einen DHCP-Server (mit dem 2. Bereich) einrichten. Der Netzwerkkarte des Servers dann jeweils eine IP aus jedem der beiden Bereiche vergeben. Falls für die Gäste ein Internetzugang gewünscht ist, sollte dort dann ebenfalls eine zweite IP eingerichtet werden. Alternativ kann man aber auch einen Proxy auf dem Server benutzen (z. B. Jana-Server).
mfg
Harald
diese Aufgabe kommt ja nahe an "mit einem Faustkeil ein Raumschiff bauen".
Wieviele "normale" Clients hast du denn? Evtl. kannst du ja für deine normalen Clients manuelle IP's vergeben (aus dem 1. Bereich) und für deine "Gäste" einen DHCP-Server (mit dem 2. Bereich) einrichten. Der Netzwerkkarte des Servers dann jeweils eine IP aus jedem der beiden Bereiche vergeben. Falls für die Gäste ein Internetzugang gewünscht ist, sollte dort dann ebenfalls eine zweite IP eingerichtet werden. Alternativ kann man aber auch einen Proxy auf dem Server benutzen (z. B. Jana-Server).
mfg
Harald
Hallo moswald,
eine Gruppierung ist nicht notwendig.
mfg
Harald
eine Gruppierung ist nicht notwendig.
mfg
Harald
Ja, dem Faustkeil muss nun Intelligenz eingehaucht werden 
den normalen Clients hätte ich eben im ersten Segment reservierungen eingetragen. Dieses Netzwerksegment hätte in meiner Überlegung keine freie Reservierungen mehr (ausschluss).
Somit bekommen zwangsweise alle gäste eine IP aus dem zweiten Segment.
den normalen Clients hätte ich eben im ersten Segment reservierungen eingetragen. Dieses Netzwerksegment hätte in meiner Überlegung keine freie Reservierungen mehr (ausschluss).
Somit bekommen zwangsweise alle gäste eine IP aus dem zweiten Segment.
Der Dell 3324 ist VLAN fähig, so das das ganz einfach über dessen VLAN Funktion lösbar ist !
Denn du musst ja die Gastports von den Firmenports strikt trennen und in getrennten Layer 2 Netzen (also VLANs) betreiben. Am Switch musst du also schon genau wissen an welchen Ports sich Gäste verbinden und an welchen die Firmenmitarbeiter !!
Weisst du das nicht und Gäste können sich überall einklinken kannst du diese Problematik nur über eine sog. Port Security nach IEEE 802.1x am Switchport lösen.
Ein Gast wird dann automatisch nach Authentifizierung dynamisch ins Gast VLAN verlegt und Firmenangehörige dann ins Firmensegment so das alle sauber getrennt sind.
Was du denkst das du nur über die IP Adresse das lösen kannst ist ja so technisch gar nicht lösbar. Und wenn auch...dan wären ja Gäste und Firmenmitarbeiter gemeinsam in einem LAN mit lediglich unterschiedlichen IP Adressen unterwegs.
Das wäre tödlich, denn dann hast du beide wieder gemischt auf einem Draht und damit Tür und Tor für Unbefugte weit geöffnet. Mit einem Sniffer ist es dann ein leichtes Datenströme im Netz mitzuprotokollieren und auch Unfug im Netz zu treiben, Server zu kompromittieren usw. usw. Also genau das was du vermeiden willst !!
Deine Lösung ist die Separation in VLANs und/oder 802.1x !!!
Ob der Dell als Billigheimer Switch auch 802.1x supportet (VLANs supportet er problemlos) liess sich auf den Dell Support Seiten nicht herausbekommen, wäre aber durchaus möglich denn immerhin hat er einen seriellen Konsolport zum konfigurieren was schonmal ein riesen Pluspunkt ist und damit die Chancen steigen das er auch 802.1x supportet !
Denn du musst ja die Gastports von den Firmenports strikt trennen und in getrennten Layer 2 Netzen (also VLANs) betreiben. Am Switch musst du also schon genau wissen an welchen Ports sich Gäste verbinden und an welchen die Firmenmitarbeiter !!
Weisst du das nicht und Gäste können sich überall einklinken kannst du diese Problematik nur über eine sog. Port Security nach IEEE 802.1x am Switchport lösen.
Ein Gast wird dann automatisch nach Authentifizierung dynamisch ins Gast VLAN verlegt und Firmenangehörige dann ins Firmensegment so das alle sauber getrennt sind.
Was du denkst das du nur über die IP Adresse das lösen kannst ist ja so technisch gar nicht lösbar. Und wenn auch...dan wären ja Gäste und Firmenmitarbeiter gemeinsam in einem LAN mit lediglich unterschiedlichen IP Adressen unterwegs.
Das wäre tödlich, denn dann hast du beide wieder gemischt auf einem Draht und damit Tür und Tor für Unbefugte weit geöffnet. Mit einem Sniffer ist es dann ein leichtes Datenströme im Netz mitzuprotokollieren und auch Unfug im Netz zu treiben, Server zu kompromittieren usw. usw. Also genau das was du vermeiden willst !!
Deine Lösung ist die Separation in VLANs und/oder 802.1x !!!
Ob der Dell als Billigheimer Switch auch 802.1x supportet (VLANs supportet er problemlos) liess sich auf den Dell Support Seiten nicht herausbekommen, wäre aber durchaus möglich denn immerhin hat er einen seriellen Konsolport zum konfigurieren was schonmal ein riesen Pluspunkt ist und damit die Chancen steigen das er auch 802.1x supportet !
Hallo Aqui!
Genau diese Antwort habe ich benötigt. Der 3324 ist auch IEEE 802.1x fähig. Ich werde dies auf diesen Weg umsetzen, nur wird das ganze etwas Zeit in Anspruch nehmen. Ich danke allen, die mir hier weitergeholfen haben.
lg Alex
Genau diese Antwort habe ich benötigt. Der 3324 ist auch IEEE 802.1x fähig. Ich werde dies auf diesen Weg umsetzen, nur wird das ganze etwas Zeit in Anspruch nehmen. Ich danke allen, die mir hier weitergeholfen haben.
lg Alex
Klasse das ist dann die deLuxe Lösung für dich.
Für das 802.1x benötigst du einen Radius Server. Entweder kann das ein vorhandener Windows Server mit installiertem IAS sein oder du nimmst einen ollen PC installierst da eine Linux Distro drauf mit dem Freeradius.
Die Freeradius Konfig für 802.1x Zugangskontrolle sieht dann so aus:
Datei clients
Datei users
Der Switch hat dann in diesem Beispiel eine IP Adresse im 192.168.1er Netz und der Freeradius weisst dann dem User "levis24" mit dem Passwort "test" dynamisch das VLAN 7 zu an dem Switchport wo er angeschlossen ist.
Kann sich ein User wie z.B. deine Gäste nicht authentifizieren bietet der Switch immer die Möglichkeit den in ein sog. Gummizellen VLAN zu legen wenn die 802.1x Authentifizierung fehlschlägt, was auf dem Switch selber konfiguriert wird.
Das ist dann dein Gast VLAN was so sauber getrennt von deinem Firmennetz ist !
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Für das 802.1x benötigst du einen Radius Server. Entweder kann das ein vorhandener Windows Server mit installiertem IAS sein oder du nimmst einen ollen PC installierst da eine Linux Distro drauf mit dem Freeradius.
Die Freeradius Konfig für 802.1x Zugangskontrolle sieht dann so aus:
Datei clients
#
client 192.168.1.0/24 {
secret = Geheim
shortname = NetzwerkDatei users
#
levis24 Auth-Type := EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7
#Der Switch hat dann in diesem Beispiel eine IP Adresse im 192.168.1er Netz und der Freeradius weisst dann dem User "levis24" mit dem Passwort "test" dynamisch das VLAN 7 zu an dem Switchport wo er angeschlossen ist.
Kann sich ein User wie z.B. deine Gäste nicht authentifizieren bietet der Switch immer die Möglichkeit den in ein sog. Gummizellen VLAN zu legen wenn die 802.1x Authentifizierung fehlschlägt, was auf dem Switch selber konfiguriert wird.
Das ist dann dein Gast VLAN was so sauber getrennt von deinem Firmennetz ist !
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
