Cisco DHCP Broadcast unterbinden
Guten Morgen zusammen,
ich habe eine kleine Herausforderung für mich und bitte euch um Hilfe.
Wir haben ein Netzwerk mit fünf VLANs in drei von diesen fünf VLANs läuft ein DHCP Server.
VLAN 10: Kein DHCP Server (und darf auch nicht)
VLAN 20: Kein DHCP Server (und darf auch nicht)
VLAN 30: DHCP Server aktiv
VLAN 40: DHCP Server aktiv
VLAN 50: DHCP Server aktiv
Jetzt soll der Switch (Cisco Catalyst 2960x) so eingestellt werden das falls, jemand einen Router der einen aktivierten DHCP-Server hat diesen am Switch einsteckt den DHCP Broadcast nicht weitergibt.
Muss ich das auf dem VLANs einrichten oder an den dementsprechenden Ports am Switch?
Habe mich da schon mal auf der Cisco Website zum Thema DHCP Snopping eingelesen aber, ich werde noch nicht ganz schlau daraus.
Hat da jemand eine Idee wie ich das am besten umsetze.
Gruß
ich habe eine kleine Herausforderung für mich und bitte euch um Hilfe.
Wir haben ein Netzwerk mit fünf VLANs in drei von diesen fünf VLANs läuft ein DHCP Server.
VLAN 10: Kein DHCP Server (und darf auch nicht)
VLAN 20: Kein DHCP Server (und darf auch nicht)
VLAN 30: DHCP Server aktiv
VLAN 40: DHCP Server aktiv
VLAN 50: DHCP Server aktiv
Jetzt soll der Switch (Cisco Catalyst 2960x) so eingestellt werden das falls, jemand einen Router der einen aktivierten DHCP-Server hat diesen am Switch einsteckt den DHCP Broadcast nicht weitergibt.
Muss ich das auf dem VLANs einrichten oder an den dementsprechenden Ports am Switch?
Habe mich da schon mal auf der Cisco Website zum Thema DHCP Snopping eingelesen aber, ich werde noch nicht ganz schlau daraus.
Hat da jemand eine Idee wie ich das am besten umsetze.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 514572
Url: https://administrator.de/contentid/514572
Ausgedruckt am: 17.12.2024 um 02:12 Uhr
14 Kommentare
Neuester Kommentar
Keine Ahnung wie das bei Cisco ist
Its all on the web...! https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software ...
http://www.nwlab.net/know-how/Cisco/dhcp-snooping.html
Ist in 2 Minuten auf dem Catalyst erledigt.
Ja, das geht mit Secondary IP Adresses ! (ip address x.y.z.h secondary)
Du solltest aber immer im Hinterkopf haben das das NICHT Standard konform ist ! Grund ist das dann unvollständige ICMP Handling auf so einem Port.
Sowas kann man temporär machen für eine IP Adressmigration für die es auch gedacht ist aber nicht in einen produktiven Setup auf Dauer.
Solche Klimmzüge zeugen eigentlich immer von falschem oder fehlerhaften IP Adressdesign.
Dennoch funktioniert es aber technisch.
Du solltest aber immer im Hinterkopf haben das das NICHT Standard konform ist ! Grund ist das dann unvollständige ICMP Handling auf so einem Port.
Sowas kann man temporär machen für eine IP Adressmigration für die es auch gedacht ist aber nicht in einen produktiven Setup auf Dauer.
Solche Klimmzüge zeugen eigentlich immer von falschem oder fehlerhaften IP Adressdesign.
Dennoch funktioniert es aber technisch.
Fast.... Das hier ist ja völliger Unsinn:
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
ip address 192.168.10.0 255.255.255.0 secondary
Das sollte dir doch auch klar sein das das konfigtechnisch so nicht geht eine IP auf einem L2 Switchport zu definieren, denn ein Switchport ist immer nur eine reine Layer 2 Konfig.
Der Switchport gehört zum VLAN 10 und das ist doch beim Cisco IOS auch immer das Layer 3 IP Interface !
Richtig sähe das so aus:
!
int gi1/0/1
description Endgeraeteport im VLAN10
switchport mode access
switchport access vlan 10
!
int vlan 10
description Layer 3 Interface zum VLAN10
ip address 192.168.10.0 255.255.255.0
(ip address 172.16.10.0 255.255.255.0 secondary)
ip dhcp snooping untrust
!
So wird ein Schuh draus !
Aber Achtung. Da die Secondary IPs nicht standardkonform sind haben sie erhebliche Einschränkungen. ICMP Steuerpakete in dem Segment werden ausschliesslich nur von der Primary IP gesendet. DHCP Snooping wird vermutlich auch nicht mit der Secondary IP klappen aber das musst du mal testen.
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
Das sollte dir doch auch klar sein das das konfigtechnisch so nicht geht eine IP auf einem L2 Switchport zu definieren, denn ein Switchport ist immer nur eine reine Layer 2 Konfig.
Der Switchport gehört zum VLAN 10 und das ist doch beim Cisco IOS auch immer das Layer 3 IP Interface !
Richtig sähe das so aus:
!
int gi1/0/1
description Endgeraeteport im VLAN10
switchport mode access
switchport access vlan 10
!
int vlan 10
description Layer 3 Interface zum VLAN10
ip address 192.168.10.0 255.255.255.0
(ip address 172.16.10.0 255.255.255.0 secondary)
ip dhcp snooping untrust
!
So wird ein Schuh draus !
Aber Achtung. Da die Secondary IPs nicht standardkonform sind haben sie erhebliche Einschränkungen. ICMP Steuerpakete in dem Segment werden ausschliesslich nur von der Primary IP gesendet. DHCP Snooping wird vermutlich auch nicht mit der Secondary IP klappen aber das musst du mal testen.
Was kennt er denn generell wenn du mal "ip dhcp ?" eingibst ??
Hier stehen eigentlich alle grundlegenden ToDos dazu:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/s ...
Hier stehen eigentlich alle grundlegenden ToDos dazu:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/s ...