nullmodem
Goto Top

Cisco DHCP Broadcast unterbinden

Guten Morgen zusammen,

ich habe eine kleine Herausforderung für mich und bitte euch um Hilfe.
Wir haben ein Netzwerk mit fünf VLANs in drei von diesen fünf VLANs läuft ein DHCP Server.

VLAN 10: Kein DHCP Server (und darf auch nicht)
VLAN 20: Kein DHCP Server (und darf auch nicht)
VLAN 30: DHCP Server aktiv
VLAN 40: DHCP Server aktiv
VLAN 50: DHCP Server aktiv

Jetzt soll der Switch (Cisco Catalyst 2960x) so eingestellt werden das falls, jemand einen Router der einen aktivierten DHCP-Server hat diesen am Switch einsteckt den DHCP Broadcast nicht weitergibt.

Muss ich das auf dem VLANs einrichten oder an den dementsprechenden Ports am Switch?

Habe mich da schon mal auf der Cisco Website zum Thema DHCP Snopping eingelesen aber, ich werde noch nicht ganz schlau daraus.

Hat da jemand eine Idee wie ich das am besten umsetze.

Gruß

Content-ID: 514572

Url: https://administrator.de/contentid/514572

Ausgedruckt am: 17.12.2024 um 02:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 13.11.2019 um 08:42:05 Uhr
Goto Top
Moin,

DHCP Snooping muss auf allein Geräten aktiv sein und eben nur der vertrauenswürdige DHCP erlaubt sein.

Keine Ahnung wie das bei Cisco ist, aber im normal Fall wird das pro VLan konfiguriert.

Gruß
Spirit
aqui
aqui 13.11.2019 um 11:35:03 Uhr
Goto Top
Keine Ahnung wie das bei Cisco ist
Its all on the web...! face-wink
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software ...
http://www.nwlab.net/know-how/Cisco/dhcp-snooping.html
Ist in 2 Minuten auf dem Catalyst erledigt.
nullModem
nullModem 13.11.2019 um 12:18:48 Uhr
Goto Top
Hallo aqui,

Danke für die Links.

Wenn ich es richtig verstanden habe müsste es so sein.

conf t
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50

int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust

int gi1/0/2
switchport access vlan 50
ip dhcp snooping trust
ip dhcp snooping limit rate 50

Gruß
aqui
aqui 13.11.2019 um 12:21:42 Uhr
Goto Top
Jepp, richtig !
nullModem
nullModem 14.11.2019 um 04:11:58 Uhr
Goto Top
Danke, für das Feedback. face-smile

Nur nochmal für mich als Erklärung:

ip dhcp snooping global aktivieren:
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50

ip dhcp snooping blocken/unterbinden auf dem jeweiligen Port (wenn jemand einen Router mit aktiviertem DHCP Server einsteckt)
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust

ip dhcp snooping erlauben auf dem jeweiligen Port (DHCP Server erlauben)
int gi1/0/2
switchport access vlan 50
ip dhcp snooping trust

ip dhcp snooping erlauben auf dem jeweiligen Upink Port
int gi1/0/48
switchport mode trunk
ip dhcp snooping trust

Schlussendlich heißt es es werden auf Port 1 DHCP Anfragen nicht weitergegeben und somit keine IP Adressen vergeben.
Auf Port 2 werden dann DHCP Anfragen weitergegeben und somit IP Adressen vergeben.

Gruß
aqui
aqui 15.11.2019 um 14:23:45 Uhr
Goto Top
Alles richtig !
nullModem
nullModem 15.11.2019 aktualisiert um 21:51:46 Uhr
Goto Top
Auch hier danke, für das Feedback.

Kann ich eigentlich ein Subnetz bzw. mehrere Subnetze auf einem Port erlauben?
Wenn ja, wie?
Habe da nichts gefunden oder überlesen.

Gruß
aqui
aqui 15.11.2019 um 23:16:57 Uhr
Goto Top
Ja, das geht mit Secondary IP Adresses ! (ip address x.y.z.h secondary)
Du solltest aber immer im Hinterkopf haben das das NICHT Standard konform ist ! Grund ist das dann unvollständige ICMP Handling auf so einem Port.
Sowas kann man temporär machen für eine IP Adressmigration für die es auch gedacht ist aber nicht in einen produktiven Setup auf Dauer.
Solche Klimmzüge zeugen eigentlich immer von falschem oder fehlerhaften IP Adressdesign.
Dennoch funktioniert es aber technisch.
nullModem
nullModem 16.11.2019 aktualisiert um 10:34:34 Uhr
Goto Top
Ok, alles klar.
Das würde dann so aussehen..

ip dhcp snooping global aktivieren:
ip dhcp snooping
ip dhcp snooping vlan 10,20,30,40,50
ip dhcp snooping blocken/unterbinden auf dem jeweiligen Port (wenn jemand einen Router mit aktiviertem DHCP Server einsteckt mit der Ausnahme des Secondary IP Adressbereichs )
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
ip address 192.168.10.0 255.255.255.0 secondary
ip dhcp snooping erlauben auf dem jeweiligen Port (DHCP Server erlauben)
int gi1/0/2
switchport access vlan 50
ip dhcp snooping trust
ip dhcp snooping erlauben auf dem jeweiligen Upink Port
int gi1/0/48
switchport mode trunk
ip dhcp snooping trust

Das müsste dann so aussehen wenn man einen IP Adressbereich Temporär erlauben möchte.
aqui
aqui 16.11.2019 aktualisiert um 14:53:06 Uhr
Goto Top
Fast.... Das hier ist ja völliger Unsinn:
int gi1/0/1
switchport access vlan 10
ip dhcp snooping untrust
ip address 192.168.10.0 255.255.255.0 secondary

Das sollte dir doch auch klar sein das das konfigtechnisch so nicht geht eine IP auf einem L2 Switchport zu definieren, denn ein Switchport ist immer nur eine reine Layer 2 Konfig.
Der Switchport gehört zum VLAN 10 und das ist doch beim Cisco IOS auch immer das Layer 3 IP Interface !
Richtig sähe das so aus:
!
int gi1/0/1
description Endgeraeteport im VLAN10
switchport mode access
switchport access vlan 10
!
int vlan 10
description Layer 3 Interface zum VLAN10
ip address 192.168.10.0 255.255.255.0
(ip address 172.16.10.0 255.255.255.0 secondary)
ip dhcp snooping untrust
!

So wird ein Schuh draus !
Aber Achtung. Da die Secondary IPs nicht standardkonform sind haben sie erhebliche Einschränkungen. ICMP Steuerpakete in dem Segment werden ausschliesslich nur von der Primary IP gesendet. DHCP Snooping wird vermutlich auch nicht mit der Secondary IP klappen aber das musst du mal testen.
nullModem
nullModem 16.11.2019 um 19:08:49 Uhr
Goto Top
Hast natürlich Recht. Denkfehler von mir. IP gehört an das VLAN
Werde morgen alles Testen und berichten
aqui
aqui 17.11.2019 um 11:18:03 Uhr
Goto Top
Wir sind gespannt... face-wink
nullModem
nullModem 17.11.2019 aktualisiert um 12:27:35 Uhr
Goto Top
Hallo,

Testaufbau gemacht, befehle eigegeben, leider ohne Erfolg.
Den Befehl ip dhcp snooping untrust kennt er nicht.

Auch nach etwas suchen auf der Cisco Website leider den Fehler nicht gefunden.
Wenn ich einen DHCP Server einstecke bekommt er immer eine IP zugewiesen.

conf t
ip dhcp snooping
ip dhcp snooping vlan 10
int vlan 10
ip address 192.168.10.0 255.255.255.0
int range gi1/0/1-8
switchport mode access
switchport access vlan 10
ip dhcp snooping untrust
int gi1/0/48
ip dhcp snooping trust

Gruß
aqui
Lösung aqui 17.11.2019 um 13:02:33 Uhr
Goto Top
Was kennt er denn generell wenn du mal "ip dhcp ?" eingibst ??
Hier stehen eigentlich alle grundlegenden ToDos dazu:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/s ...